Une vulnérabilité de contournement de l’authentification de gravité maximale affecte les plateformes Catalyst SD-WAN Controller et Catalyst SD-WAN Manager de Cisco. Selon l’entreprise, la faille a déjà été exploitée. Cette divulgation fait suite à une précédente vulnérabilité de contournement d'authentification corrigée en février par Cisco. Dans son dernier avis, la société précise que cette vulnérabilité a été identifiée lors de l'enquête sur la faille précédente. « Une vulnérabilité dans l'authentification de peering de Cisco Catalyst SD-WAN Controller, anciennement SD-WAN vSmart, et de Cisco Catalyst SD-WAN Manager, anciennement SD-WAN vManage, pourrait permettre à un attaquant distant non authentifié de contourner l'authentification et d'obtenir des privilèges d'administrateur sur un système affecté », a déclaré Cisco dans un avis. La société a également confirmé avoir eu connaissance d’une « exploitation limitée » de cette faille en mai 2026, sans toutefois donner de détails sur l’attaque ou les acteurs malveillants impliqués. La faille zero-day est désormais corrigée par des mises à jour logicielles, et il est conseillé aux entreprises d’appliquer les correctifs immédiatement, car il n’existe aucune solution de contournement pour remédier à ce bug.

Obtenir un accès admin

Selon Cisco, cette vulnérabilité résulte d'une validation incorrecte lors du processus d'authentification utilisé pour établir des connexions de contrôle entre les équipements SD-WAN. L'entreprise a indiqué qu'un pirate pourrait exploiter cette faille à distance en envoyant des requêtes de connexion de contrôle spécialement conçues à un système ciblé. Une exploitation réussie permettrait à un pirate de contourner l'authentification, de s'établir en tant que pair de confiance et d'obtenir des privilèges d'administration sur le matériel affecté. « En particulier, l'attaquant pourrait se connecter à un contrôleur SD-WAN Cisco Catalyst affecté en tant que compte utilisateur interne, hautement privilégié et non root », a indiqué Cisco. « Via ce compte, l'attaquant pourrait accéder à NETCONF et manipuler la configuration réseau du fabric SD-WAN. » La vulnérabilité, référencée sous le numéro CVE-2026-20182, est affectée du score de gravité maximale de 10,0 selon le CVSS. L’équipementier précise que la vulnérabilité est indépendante de la configuration, ce qui signifie que les systèmes vulnérables restent exposés quels que soient les paramètres spécifiques au déploiement. Cisco a remercié Stephen Fewer, chercheur principal en sécurité, et Jonah Burgess, chercheur senior en sécurité, tous deux de Rapid7, pour avoir découvert et signalé le bug.

Des correctifs logiciels accélérés

Cisco a révélé avoir eu connaissance de tentatives d'exploitation en mai, exhortant ses clients à passer immédiatement à une version corrigée. Peu après cette divulgation, la faille a été ajoutée au catalogue des vulnérabilités connues et exploitées (Known Exploited Vulnerabilities, KEV) de l’Agence de cybersécurité et de sécurité des infrastructures (CISA ou Cybersecurity and Infrastructure Security Agency). Celle-ci recommande de respecter les directives applicables de la norme BOD 22-01 pour les services cloud ou de cesser d’utiliser le produit si aucune mesure d’atténuation n’est disponible. L'organisme américain de surveillance de la cybersécurité a donné aux agences exécutives fédérales jusqu'au 17 mai pour corriger la faille. « Il est conseillé aux clients de passer à une version logicielle corrigée appropriée », ont déclaré Stephen Fewer et Jonah Burgess dans un article de blog, précisant que les versions logicielles corrigées sont les versions 20.9 à 26.1.1. « Il n'existe aucune solution de contournement pour remédier à cette vulnérabilité », ont-ils ajouté. Parallèlement aux correctifs logiciels, Cisco a publié des conseils opérationnels pour aider les entreprises à identifier les connexions de contrôle potentiellement malveillantes. L'avis demandait aux administrateurs de passer en revue les relations de peering de contrôle existantes, à l'aide de la commande « show control connections », et de valider tous les pairs connectés, en particulier ceux associés aux systèmes SD-WAN Manager. Il est conseillé aux entreprises qui soupçonnent une compromission de contacter le support du centre d'assistance technique (TAC) de Cisco et de collecter des informations de diagnostic auprès des appareils affectés.