Les RSSI doivent tout laisser tomber et corriger cette faille immédiatement. Cet avertissement, émis par le consultant en sécurité indépendant Robert Enderle concernant la solution Secure Workload de Cisco n'est vraiment pas à prendre à la légère. « Cisco Secure Workload gère la politique zero trust, la microsegmentation et la visibilité du réseau à l’échelle de l’entreprise. Si un pirate prend le contrôle de la plateforme qui définit vos politiques de sécurité, il détient de fait la carte et les clés de l’ensemble de votre réseau », alerte Robert Enderle. « C’est le pire scénario possible. Compte tenu de l’importance vitale de cette plateforme pour les grandes entreprises, les cybercriminels vont rechercher de manière agressive des points de terminaison API non corrigés à exploiter. » Même son de cloche du côté de Fred Chagnon, directeur principal de la recherche chez Info-Tech Research Group pour qui il y aussi urgence à remédier immédiatement à ce problème. Un attaquant pourrait modifier ou démanteler les politiques de sécurité d’une entreprise, a-t-il souligné, ouvrant ainsi des portes au sein d'un environnement qui étaient délibérément fermées. « Étant donné que cet accès s'effectue au niveau de l'administrateur du site et dépasse les limites des hôtes, l'ampleur des répercussions dans un déploiement multi-hôtes pourrait être considérable, exposant ou compromettant potentiellement les charges de travail et les données appartenant à plusieurs divisions ou clients. »

Cisco a attribué à cette faille (CVE-2026-20223) un score CVSS maximal de 10,0, car elle permet à un attaquant distant non authentifié de contourner complètement l'authentification. En envoyant une requête HTTP spécialement conçue à un point de terminaison de l'API REST interne, l'attaquant obtient instantanément les privilèges d'administrateur du site. Dans son bulletin de sécurité, Cisco indique que cette faille est due à une validation et une authentification insuffisantes lors de l'accès aux points de terminaison de l'API REST. Il n'existe aucune solution de contournement ; la seule solution consiste à installer les mises à jour logicielles pour corriger cette vulnérabilité, ce que Cisco « recommande vivement ». Les systèmes fonctionnant sous la version 4.0 doivent passer à la version 4.0.3.17. Ceux fonctionnant sous la version 3.10 doivent passer à la version 3.10.8.3, tandis que ceux utilisant encore la v3.9 ou une antérieure doivent migrer vers une plus récente et corrigée. Cette faille affecte aussi la fonction Cluster cette fois aussi dans les déploiements SaaS, quelle que soit la configuration des terminaux, mais ne concerne que les API REST internes et n'a pas d'impact sur l'interface de gestion web. Cependant, seuls les utilisateurs de la version sur site doivent agir, la version cloud ayant déjà été corrigée par l'éditeur. Mercredi, Cisco n'avait pas connaissance d'une exploitation de cette vulnérabilité.

Une faille à considérer comme une menace active

La bonne nouvelle, a déclaré M. Chagnon, c’est que c’est l’équipe de sécurité de Cisco elle-même qui a découvert et signalé cette faille, en publiant un correctif en même temps que son alerte de sécurité. De plus, a-t-il ajouté, il n’y a aucun signe connu d’exploitation dans la nature, et aucune divulgation publique n’a précédé l’annonce du fournisseur. « Compte tenu de la nature de cette vulnérabilité, d’un score CVSS parfait, de l’absence d’authentification requise et de l’absence de solutions de contournement disponibles, les entreprises devraient traiter cela comme une menace active », a-t-il déclaré. Ce n’est pas le seul bug critique auquel les administrateurs Cisco ont été confrontés récemment, mais c’est celui qui a reçu la note de gravité la plus élevée. En avril, les administrateurs ont dû remplacer un certificat de fournisseur d’identité dans Webex Control Hub dans le cadre d’un correctif comblant une vulnérabilité au score CVSS de 9.8. En janvier, des correctifs ont aussi été publiés pour corriger une vulnérabilité critique d'exécution de code à distance dans Unified Communications Manager, Unity Connection et Webex Calling Dedicated Instance. Et en décembre, Cisco a averti qu'un groupe de pirates informatiques lié à la Chine exploitait activement une vulnérabilité zero day dans ses appliances Secure Email.