Cisco Releases Security Updates for Actively Exploited SD-WAN Manager Flaw

Exploitation active de Cisco Catalyst SD-WAN Manager

Cisco a publié des correctifs pour une vulnérabilité critique affectant l’interface web de son gestionnaire SD-WAN, actuellement exploitée par des acteurs malveillants. Cette faille permet à un attaquant disposant d’identifiants valides d’écrire ou de remplacer des fichiers arbitraires sur le système, pouvant mener à une élévation de privilèges (root).

Points clés :

• Vecteur d’attaque : Requêtes HTTP contrefaites envoyées vers un point de terminaison API.
• Prérequis : L’attaquant doit posséder des identifiants valides avec au moins un accès en écriture.
• Impact : Création/modification de fichiers système et escalade de privilèges.
• Statut : La faille est ajoutée au catalogue KEV de la CISA, imposant une mise à jour rapide pour les agences fédérales américaines.

Vulnérabilité :

• CVE-2026-20262 (Score CVSS : 6.5/10) : Faille de validation d’entrée insuffisante lors du téléchargement de fichiers.

Recommandations :

• Appliquer les correctifs : Mettre à jour immédiatement les instances vers les versions corrigées listées par Cisco (ex: 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2).
• Auditer les logs : Rechercher des activités suspectes dans les fichiers vmanage-server.log, vmanage-appserver.log et serviceproxy-access.log.
• Surveillance : Porter une attention particulière aux uploads de fichiers suspects (notamment les fichiers .war).

Source