**CISA** a mandaté les agences du Federal Civilian Executive Branch (FCEB) pour qu'elles remédient à **CVE-2026-20182** d'ici le 17 mai 2026. ## Contournement d'authentification dans Cisco Catalyst SD-WAN Controller La vulnérabilité, **CVE-2026-20182**, est un contournement d'authentification critique affectant **Cisco** Catalyst SD-WAN Controller. Avec une sévérité maximale de 10.0 sur l'échelle CVSS, elle permet à des attaquants distants non authentifiés d'obtenir des privilèges administratifs. "**Cisco** Catalyst SD-WAN Controller et Manager contiennent une vulnérabilité de contournement d'authentification qui permet à un attaquant distant non authentifié de contourner l'authentification et d'obtenir des privilèges administratifs sur un système affecté", a déclaré **CISA** dans son avis. ## Exploitation active et attribution des acteurs malveillants **Cisco Talos** attribue l'exploitation active de **CVE-2026-20182** avec une grande confiance à UAT-8616, un groupe de menaces précédemment lié à l'exploitation de **CVE-2026-20127**. "UAT-8616 a effectué des actions post-compromission similaires après avoir exploité avec succès **CVE-2026-20182**, comme observé lors de l'exploitation de **CVE-2026-20127** par le même acteur malveillant", a rapporté **Cisco Talos**. L'attaquant a tenté d'ajouter des clés SSH, de modifier les configurations NETCONF et d'escalader vers les privilèges root. ## Infrastructure superposée et vulnérabilités en chaîne L'infrastructure utilisée par UAT-8616 se superpose aux réseaux Operational Relay Box (ORB). Plusieurs groupes de menaces exploitent également **CVE-2026-20133**, **CVE-2026-20128** et **CVE-2026-20122**, depuis mars 2026. Lorsqu'elles sont enchaînées, ces trois vulnérabilités peuvent permettre à un attaquant distant non authentifié d'obtenir un accès non autorisé. Elles ont été ajoutées au catalogue KEV de **CISA** le mois dernier. ## Déploiement de Web Shells et groupes d'acteurs malveillants Les attaquants exploitent le code d'exploit de preuve de concept publiquement disponible pour déployer des web shells sur les systèmes compromis, permettant l'exécution de commandes bash arbitraires. Un tel web shell basé sur JavaServer Pages (JSP), baptisé XenShell, utilise un PoC publié par ZeroZenX Labs. Au moins 10 groupes distincts ont été identifiés exploitant ces failles : * **Groupe 1** (Actif depuis au moins le 6 mars 2026) : Déploie le web shell Godzilla. * **Groupe 2** (Actif depuis au moins le 10 mars 2026) : Déploie le web shell Behinder. * **Groupe 3** (Actif depuis au moins le 4 mars 2026) : Déploie le web shell XenShell et une variante de Behinder. * **Groupe 4** (Actif depuis au moins le 3 mars 2026) : Déploie une variante du webshell Godzilla. * **Groupe 5** (Actif depuis au moins le 13 mars 2026) : Déploie un agent malware compilé à partir du framework de red teaming AdaptixC2. * **Groupe 6** (Actif depuis au moins le 5 mars 2026) : Déploie le framework de commande et de contrôle (C2) Sliver. * **Groupe 7** (Actif depuis au moins le 25 mars 2026) : Déploie un mineur XMRig. * **Groupe 8** (Actif depuis au moins le 10 mars 2026) : Déploie l'outil de cartographie d'actifs KScan et une backdoor Nim basée probablement sur NimPlant, capable d'opérations de fichiers, d'exécution bash et de collecte d'informations système. * **Groupe 9** (Actif depuis au moins le 17 mars 2026) : Déploie un mineur XMRig et un outil de proxy et de tunneling peer-to-peer appelé gsocket. * **Groupe 10** (Actif depuis au moins le 13 mars 2026) : Déploie un voleur d'identifiants ciblant des hashdumps d'utilisateurs admin, des fragments de clés JSON Web Tokens (JWT) pour l'authentification d'API REST, et des identifiants AWS pour vManage. ## Recommandations de Cisco **Cisco** exhorte ses clients à suivre les directives et recommandations fournies dans les avis concernant ces vulnérabilités afin de sécuriser leurs environnements.