Vulnérabilité zero-day critique dans Cisco Catalyst SD-WAN Manager

Cisco a émis une alerte concernant une vulnérabilité zero-day de haute gravité, actuellement exploitée activement, au sein du logiciel Cisco Catalyst SD-WAN Manager (anciennement vManage). Cette faille permet à un attaquant disposant d’un accès initial de procéder à une élévation de privilèges pour obtenir un accès root.

Points clés

• Impact : La vulnérabilité concerne tous les types de déploiement (sur site, Cloud-Pro, Cloud managé et instances gouvernementales).
• Méthode d’exploitation : L’attaque nécessite des privilèges netadmin préalables (pouvant être obtenus via d’autres failles connues comme CVE-2026-20182 ou CVE-2026-20127) et repose sur l’injection de commandes via le téléchargement de fichiers malveillants.
• Conséquences : Les attaquants peuvent exécuter des commandes arbitraires en tant qu’utilisateur root et modifier la configuration des périphériques de périphérie (edge devices).
• Détection : Cisco conseille aux administrateurs d’inspecter le fichier /var/log/scripts.log à la recherche de tentatives suspectes de téléchargement de listes de locataires (tenant configuration data).

Vulnérabilité identifiée

• CVE-2026-20245 : Faille d’injection de commandes par validation insuffisante des entrées utilisateur.

Recommandations

• Absence de correctif : Aucun patch n’est actuellement disponible pour cette vulnérabilité.
• Sécurisation : À défaut de correctif direct, Cisco recommande vivement d’appliquer les mises à jour liées à la vulnérabilité CVE-2026-20182 (disponibles depuis le 14 mai) pour limiter les vecteurs d’entrée.
• Investigation : En cas de doute sur une compromission, les clients doivent collecter les fichiers “admin-tech” et ouvrir un dossier auprès du support technique de Cisco (TAC).

Source