**Cisco** alerte sur l'exploitation active d'une faille critique de contournement d'authentification dans son contrôleur Catalyst SD-WAN, référencée **CVE-2026-20182**. Cette vulnérabilité, exploitée dans des attaques zero-day, a permis à des attaquants d'obtenir des privilèges administratifs sur les appareils compromis. **CVE-2026-20182** présente une sévérité maximale de 10.0 et affecte **Cisco Catalyst SD-WAN Controller** et **Cisco Catalyst SD-WAN Manager** dans les déploiements on-premise et SD-WAN Cloud. ### Détails de la vulnérabilité Dans un avis publié aujourd'hui, **Cisco** indique que le problème provient d'un mécanisme d'authentification de peering qui "ne fonctionne pas correctement". "Cette vulnérabilité existe car le mécanisme d'authentification de peering dans un système affecté ne fonctionne pas correctement. Un attaquant pourrait exploiter cette vulnérabilité en envoyant des requêtes spécialement conçues au système affecté", peut-on lire dans l'[avis Cisco CVE-2026-20182](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW). "Une exploitation réussie pourrait permettre à l'attaquant de se connecter à un **Cisco Catalyst SD-WAN Controller** affecté en tant que compte utilisateur interne, hautement privilégié, non root. En utilisant ce compte, l'attaquant pourrait accéder à NETCONF, ce qui lui permettrait de manipuler la configuration réseau du fabric SD-WAN." **Cisco Catalyst SD-WAN** est une plateforme réseau logicielle qui connecte les succursales, les centres de données et les environnements cloud via un système géré centralement. Elle utilise un contrôleur pour acheminer le trafic de manière sécurisée entre les sites via des connexions chiffrées. ### Exploitation active L'entreprise a détecté que des acteurs de la menace exploitaient la faille en mai, mais n'a pas fourni de détails sur la manière dont elle a été exploitée. Cependant, les indicateurs de compromission (IOC) partagés incitent les administrateurs à vérifier les événements de peering non autorisés dans les journaux du contrôleur SD-WAN, ce qui pourrait indiquer des tentatives d'enregistrement d'appareils non autorisés au sein du fabric SD-WAN. En ajoutant un pair non autorisé, un attaquant pourrait insérer un appareil malveillant dans l'environnement SD-WAN qui apparaît légitime. Cet appareil pourrait alors établir des connexions chiffrées et annoncer des réseaux sous le contrôle de l'attaquant, lui permettant potentiellement de s'infiltrer plus profondément dans le réseau d'une organisation. ### Découverte et lien avec des vulnérabilités précédentes La faille a été [découverte par **Rapid7**](https://www.rapid7.com/blog/post/ve-cve-2026-20182-critical-authentication-bypass-cisco-catalyst-sd-wan-controller-fixed/) lors de recherches sur une autre vulnérabilité du contrôleur **Cisco SD-WAN**, référencée [**CVE-2026-20127**](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk), qui a été corrigée en février. **CVE-2026-20127** a également été [exploitée dans des attaques zero-day](https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/) par un acteur de la menace identifié comme "UAT-8616" depuis 2023, afin de créer des pairs non autorisés dans les organisations. ### Atténuation et remédiation **Cisco** a publié des mises à jour de sécurité pour corriger la vulnérabilité et indique qu'il n'existe pas de contournement permettant de l'atténuer complètement. L'entreprise recommande également de restreindre l'accès aux interfaces de gestion et de plan de contrôle SD-WAN aux réseaux internes de confiance ou uniquement aux adresses IP autorisées, et de vérifier les journaux d'authentification pour toute activité de connexion suspecte. La **CISA** a ajouté la faille **Cisco CVE-2026-20182** au [catalogue des vulnérabilités connues et exploitées](https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalog), ordonnant aux agences fédérales de patcher les appareils affectés avant le 17 mai 2026. ### Indicateurs de compromission **Cisco** exhorte les organisations à examiner les journaux de tous les systèmes Catalyst SD-WAN Controller exposés à Internet pour détecter les événements pouvant indiquer un accès ou des événements de peering non autorisés. L'entreprise indique que les administrateurs doivent vérifier le fichier */var/log/auth.log* pour les entrées indiquant "Accepted publickey for vmanage-admin" provenant d'adresses IP inconnues : 2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY] Les administrateurs doivent comparer les adresses IP dans les journaux avec les adresses IP système configurées listées dans l'interface web du **Cisco Catalyst SD-WAN Manager**, sous **WebUI** > **Devices** > **System IP**. Si une adresse IP inconnue s'est authentifiée avec succès, les administrateurs doivent considérer l'appareil comme compromis et ouvrir un dossier **Cisco TAC**. **Cisco** recommande également de vérifier les journaux du contrôleur SD-WAN pour toute activité de peering non autorisée, car les attaquants pourraient tenter d'enregistrer des appareils non autorisés au sein du fabric SD-WAN. Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005 **Cisco** recommande fortement de mettre à niveau vers une version logicielle corrigée, car c'est le seul moyen de remédier complètement à **CVE-2026-20182**.  ## Le fossé de validation : le pentesting automatisé répond à une question. Vous en avez besoin de six. Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)