La vulnérabilité CVE-2026-20245 affecte Cisco Catalyst SD-WAN Manager, solution d’administration centralisée des réseaux WAN d’entreprise. Elle permet à un attaquant disposant de privilèges administratifs d’exécuter des commandes en tant que root, exposant l’intégralité de l’infrastructure réseau.

Cisco SD-WAN Manager : contrôle total du réseau d’entreprise

Cisco Catalyst SD-WAN Manager est la plateforme de gestion des réseaux WAN d’entreprise déployés en SD-WAN. Elle permet de configurer, surveiller et gérer l’ensemble des équipements réseau : routeurs, pare-feux, liens WAN, politiques de trafic, tunnels VPN. CVE-2026-20245 est une vulnérabilité de type Command Injection. Un administrateur ayant accès légitime — ou dont le compte a été compromis — peut injecter des commandes supplémentaires s’exécutant avec les privilèges root du système sous-jacent. Un attaquant l’exploitant peut intercepter le trafic réseau, modifier le routage, créer des backdoors ou désactiver des mécanismes de sécurité.

La vulnérabilité CVE-2026-20245 affecte Cisco Catalyst SD-WAN Manager et résulte d’une validation insuffisante des données fournies par l’utilisateur lors de certaines opérations d’administration. Un attaquant disposant d’un compte administrateur, ou ayant préalablement compromis un compte légitime, peut exploiter cette faiblesse en soumettant des fichiers ou des commandes spécialement conçus afin d’injecter des instructions malveillantes dans le système. Ces commandes sont ensuite exécutées avec les privilèges root, offrant un contrôle total sur le serveur SD-WAN Manager. Une exploitation réussie permet de modifier la configuration réseau, déployer des changements sur les routeurs connectés, intercepter ou rediriger le trafic, compromettre les communications entre les sites distants et, dans les cas les plus graves, prendre le contrôle d’une partie importante de l’infrastructure réseau de l’entreprise. Cette vulnérabilité est d’autant plus préoccupante que Cisco a confirmé son exploitation active dans des environnements réels avant la disponibilité d’un correctif complet.

Réponse de Cisco

Cisco a publié un avis de sécurité (Security Advisory) via son PSIRT (Product Security Incident Response Team) accompagné de mises à jour logicielles. Les organisations utilisant Cisco SD-WAN Manager doivent appliquer ces mises à jour en urgence et auditer les journaux d’activité administrateur pour détecter d’éventuelles actions non autorisées.

Recommandations clés

  • Appliquer immédiatement les mises à jour Cisco SD-WAN
  • Manager selon les recommandations du PSIRT Cisco
  • Revoir et restreindre les comptes disposant d’accès administratif à la plateforme SD-WAN
  • Activer le MFA pour tous les accès à l’interface d’administration Cisco SD-WAN S
  • urveiller les journaux d’activité administrateur pour détecter des commandes inhabituelles
  • Isoler l’interface d’administration SD-WAN dans un réseau de gestion dédié (out-of-band management)
  • Réaliser un audit de configuration réseau pour détecter d’éventuelles modifications non autorisées

Articles Similaires