Assiégé : Le gestionnaire SD-WAN de Cisco compromis lors d’attaques cybernétiques en cours

Un rappel brutal que même les géants mondiaux du réseau ne sont pas à l’abri des menaces cybernétiques : Cisco a tiré la sonnette d’alarme concernant deux vulnérabilités récemment découvertes dans sa plateforme Catalyst SD-WAN Manager. Alors que les attaquants s’empressent d’exploiter ces failles, les organisations qui s’appuient sur l’infrastructure Cisco se livrent désormais à une course contre la montre pour sécuriser leurs réseaux et empêcher tout accès non autorisé.

Failles exploitées : Analyse technique

Les deux vulnérabilités - CVE-2026-20122 et CVE-2026-20128 - touchent au cœur du Catalyst SD-WAN Manager de Cisco, un outil essentiel utilisé par les entreprises du monde entier pour superviser de vastes réseaux. CVE-2026-20122, notée 7,1 sur l’échelle CVSS, permet à un attaquant distant authentifié d’écraser des fichiers sur le système - ouvrant potentiellement la voie à de nouvelles compromissions. CVE-2026-20128, un peu moins grave (CVSS 5,5), pourrait permettre à un attaquant local d’élever ses privilèges en accédant au rôle utilisateur de l’agent de collecte de données.

Ce qui est particulièrement inquiétant, c’est que les attaquants n’ont besoin que d’un accès minimal - des identifiants en lecture seule avec accès API ou des identifiants locaux standards - pour déclencher les exploits. Cela abaisse considérablement la barrière pour des attaques internes ou des mouvements latéraux, en particulier si des identifiants sont divulgués ou obtenus par hameçonnage.

Réponse de Cisco : Correctifs et précautions

L’équipe PSIRT (Product Security Incident Response Team) de Cisco a révélé avoir eu connaissance d’exploitations actives en mars 2026. L’entreprise a depuis publié des correctifs en urgence, exhortant ses clients à passer aux versions corrigées - allant de la 20.9.8.2 à la 20.18.2.1 selon le déploiement. Mais appliquer les correctifs n’est qu’un début. Cisco recommande une défense complète : restreindre l’accès réseau, sécuriser les appareils derrière des pare-feu, désactiver les services inutiles comme HTTP et FTP, imposer des mots de passe administrateur robustes et surveiller le trafic suspect.

Le contexte est d’autant plus préoccupant que des failles critiques récentes ont également été découvertes dans le SD-WAN Controller et le Secure Firewall Management Center, certaines notées 10,0 sur l’échelle CVSS, et déjà exploitées par des acteurs de la menace avancés. Si Cisco reste discret sur l’ampleur et l’origine des attaques, le schéma laisse entrevoir une campagne plus large visant des organisations à forte valeur.

Conclusion : Les enjeux majeurs de la sécurité réseau

Les divulgations continues de vulnérabilités par Cisco rappellent une réalité inquiétante : même les outils d’entreprise les plus fiables sont des cibles lucratives pour des attaquants déterminés. Alors que les organisations s’empressent d’appliquer les correctifs et de renforcer leurs défenses, cet incident fait office de signal d’alarme - la sécurité est une cible mouvante, et la complaisance n’est pas une option.

WIKICROOK

• SD : SD signifie Secure Development, l’intégration de pratiques de sécurité tout au long du développement logiciel afin de réduire les vulnérabilités et renforcer la protection des applications.
• CVE : CVE, ou Common Vulnerabilities and Exposures, est un système permettant d’identifier et de suivre de manière unique les failles de cybersécurité connues publiquement dans les logiciels et matériels.
• CVSS : CVSS (Common Vulnerability Scoring System) est une méthode standardisée pour évaluer la gravité des failles de sécurité, avec des scores de 0,0 à 10,0.
• Accès API : L’accès API permet aux utilisateurs ou aux programmes d’interagir avec des systèmes via des API. Il facilite l’automatisation et l’intégration, mais nécessite une sécurité renforcée pour éviter les abus.
• Escalade de privilèges : L’escalade de privilèges se produit lorsqu’un attaquant obtient des droits d’accès supérieurs, passant d’un compte utilisateur standard à des privilèges administrateur sur un système ou un réseau.