Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité Critique dans Cisco Catalyst SD-WAN

Score CVSS :
10
Date de publication :
18/5/2026
Date de dernière mise à jour :
18/5/2026
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• Cisco Catalyst SD-WAN Controller (anciennement vSmart Controller)

• Cisco Catalyst SD-WAN Manager (anciennement vManage)

• Versions antérieures à 20.9

• Branche 20.9 : versions antérieures à 20.9.9.1

• Branche 20.10 / 20.11 : versions antérieures à 20.12.7.1

• Branche 20.12 : versions antérieures à 20.12.5.4 / 20.12.6.2

Prérequis

• Accès réseau au plan de contrôle SD-WAN, notamment au service vdaemon exposé sur le port UDP 12346 (DTLS)

• Accessibilité du service NETCONF en SSH (TCP/830) pour la phase de post-exploitation

• Aucun identifiant valide requis, aucune interaction utilisateur, aucune configuration particulière nécessaire côté cible

Risques

• Exécution de code arbitraire

• Accès au réseau interne de l’entreprise

• Exploitation d’informations d’identifications

• Exfiltration de données sensibles

Résumé

Une vulnérabilité critique de type “Contournement d’authentification” affectant les solutions CISCO SD-WAN a récemment été publiée par l’éditeur.

Le niveau de criticité initial de cette vulnérabilité est de 10 (score CVSSv3.1).

La solution Cisco Catalyst SD-WAN permet de centraliser la gestion, l'orchestration et la sécurisation des réseaux WAN d'entreprise. Le Controller assure le plan de contrôle (peering et distribution des routes/politiques) et le Manager fournit l'interface d'administration unifiée du fabric.

- CVE-2026-20182 : Une vulnérabilité dans l’authentification Cisco Catalyst SD-WAN, pourrait permettre à un attaquant distant non authentifié de contourner l’authentification et d’obtenir des privilèges administratifs sur un système affecté, un attaquant peut se connecter au service NETCONF (SSH via port TCP 830) en tant qu’utilisateur vmanage-admin, et commencer à émettre des commandes NETCONF arbitraires.

Une fois la vulnérabilité exploitée, l’attaquant aura ainsi accès à l’équipement. Il pourra donc interagir avec celui-ci.

L’exploitation de cette CVE pourrait permettre à l’attaquant à minima une compromission complète du système (exécution de commande).

A l’heure actuelle, des traces d’exploitation par des groupes d’attaquants sont déjà publiquement disponibles.


Étant donné le risque associé,

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, vous pouvez :

• Rechercher dans les journaux SSH les connexions acceptées pour l'utilisateur vmanage-admin provenant d'adresses IP inconnues, non autorisées ou hors plages de management.

• Inspecter le fichier authorized_keys du compte vmanage-admin pour toute clé publique non légitime ou non répertoriée dans la base de configuration.

• Auditer les journaux NETCONF (TCP/830) pour identifier des sessions inhabituelles, des modifications de configuration non planifiées ou l'exécution de RPC inattendus.

Remédiation :

Mettre à jour Cisco Catalyst SD-WAN Controller et SD-WAN Manager vers les versions :

• Branche 20.9 : 20.9.9.1 ou ultérieure

• Branche 20.10 et 20.11 : migration vers 20.12.7.1 ou ultérieure

• Branche 20.12 : 20.12.5.420.12.6.2 ou 20.12.7.1

• Cisco SD-WAN Cloud (Cisco Managed) : release 20.15.506 (déjà déployée par Cisco sur les tenants gérés)

• Versions antérieures à 20.9 : migration obligatoire vers une branche supportée et corrigée

Le détail exhaustif (et les éventuelles mises à jour de la matrice de correction) est disponible dans l'advisory officiel Cisco cisco-sa-sdwan-rpa2-v69WY2SW référencé ci-dessous.

Avant de procéder à la mise à niveau , exécutez la commande “admin-tech” sur tous les composants de contrôle afin de préserver les éventuelles preuves techniques d'une intrusion.

Références

• Advisory officiel Cisco : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW

• Analyse Rapid7 : https://www.rapid7.com/blog/post/ve-cve-2026-20182-critical-authentication-bypass-cisco-catalyst-sd-wan-controller-fixed/

• Rapport Cisco Talos sur la campagne d'exploitation (UAT-8616) : https://blog.talosintelligence.com/sd-wan-ongoing-exploitation/

• CISA KEV : https://www.cisa.gov/known-exploited-vulnerabilities-catalog

• CISA Emergency Directive ED 26-03 : https://www.cisa.gov/news-events/directives

• NVD : https://nvd.nist.gov/vuln/detail/CVE-2026-20182

• Centre canadien pour la cybersécurité (AL26-012) : https://www.cyber.gc.ca/fr/alertes-avis

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité