En bref

  • Cisco a publié le 16 avril 2026 quatre correctifs critiques couvrant Identity Services Engine (ISE) et Webex.
  • La faille la plus sévère, CVE-2026-20184 (CVSS 9.8), permet à un attaquant non authentifié d'usurper n'importe quel utilisateur Webex via l'intégration SSO Control Hub.
  • Trois autres failles ISE (CVE-2026-20147, 20180, 20186, CVSS jusqu'à 9.9) autorisent l'exécution de code arbitraire sur l'OS sous-jacent.

Quatre failles critiques corrigées en bloc

Cisco a publié mi-avril 2026 un train de correctifs d'urgence couvrant quatre vulnérabilités critiques affectant deux piliers de son catalogue professionnel : Identity Services Engine (ISE), la plateforme de contrôle d'accès réseau déployée dans des dizaines de milliers d'entreprises, et Webex Services, la suite collaborative cloud utilisée par des centaines de millions d'utilisateurs professionnels. La plus sévère, référencée CVE-2026-20184 avec un score CVSS de 9.8, concerne l'intégration SSO de Webex avec Control Hub et permet à un attaquant distant non authentifié de se faire passer pour n'importe quel utilisateur du service. Les trois autres, numérotées CVE-2026-20147, CVE-2026-20180 et CVE-2026-20186, affectent ISE et montent jusqu'à 9.9 sur l'échelle CVSS : elles autorisent l'exécution de code arbitraire ou l'évasion vers le système d'exploitation sous-jacent, parfois avec de simples privilèges de lecture seule. Cisco affirme ne pas avoir observé d'exploitation active à ce stade, mais la combinaison de ces quatre vecteurs dessine un scénario de compromission totale du SI pour les organisations exposées.

Le détail des failles ISE révèle une mécanique inquiétante : CVE-2026-20147 permet à un attaquant authentifié à distance d'effectuer de l'exécution de code ou du path traversal, tandis que CVE-2026-20180 et CVE-2026-20186 permettent à un compte admin en lecture seule d'exécuter des commandes arbitraires sur l'OS hôte. Cisco décrit ces vulnérabilités comme résultant d'une validation d'entrée insuffisante dans l'interface web d'administration, un type de défaut récurrent dans les appliances de sécurité qui rappelle les deux failles critiques FortiClient EMS exploitées dès mars 2026.

Pour Webex, qui est opéré en mode cloud, Cisco a déjà déployé les correctifs côté infrastructure. Les clients utilisant le SSO doivent néanmoins téléverser un nouveau certificat SAML IdP dans Control Hub pour compléter la remédiation, une opération manuelle qui ne peut pas être automatisée. L'éditeur précise qu'aucune divulgation publique ni exploitation active n'a été observée, mais recommande d'appliquer la procédure sans délai, dans la continuité du Patch Tuesday Microsoft d'avril qui corrigeait déjà un zero-day SharePoint activement exploité.

Pourquoi c'est important

Cisco ISE est le cœur de la politique NAC (Network Access Control) de nombreuses grandes entreprises et administrations. Une RCE non authentifiée sur cet équipement signifie potentiellement la capacité, pour un attaquant, de manipuler les politiques d'accès réseau, d'autoriser des machines compromises à traverser les VLAN sensibles, ou d'exfiltrer en clair les credentials 802.1X de l'ensemble des postes du parc. Pour un opérateur d'importance vitale ou un établissement de santé, l'enjeu dépasse le simple correctif : il impose une revue complète des chaînes d'authentification.

Du côté Webex, la vulnérabilité SSO (CVE-2026-20184) est particulièrement dangereuse parce qu'elle permet à un attaquant d'obtenir l'identité de n'importe quel utilisateur, y compris administrateur, sans aucune interaction. Les réunions confidentielles, les partages de documents, les historiques de messagerie deviennent accessibles tant que le certificat IdP compromis reste actif. Cette classe de faille SSO, de plus en plus fréquente, s'inscrit dans un contexte où les compromissions de plateformes collaboratives enfilent les perles : compromission OAuth Workspace via Context.ai chez Vercel, ultimatum ShinyHunters visant des grandes enseignes. Les équipes sécurité doivent désormais considérer le SSO comme une surface critique et l'auditer au même titre qu'un serveur exposé sur Internet.

Ce qu'il faut retenir

  • Appliquer les correctifs ISE immédiatement sur toutes les versions supportées ; les organisations sur des branches EOL doivent planifier une migration d'urgence.
  • Pour Webex SSO : téléverser le nouveau certificat SAML IdP dans Control Hub, la remédiation n'est pas automatique côté client.
  • Auditer les logs ISE et Webex sur 60 jours à la recherche d'actions administrateur anormales ou d'élévations de privilèges inexpliquées.

Mes appliances ISE sont-elles vulnérables si elles ne sont pas exposées sur Internet ?

Oui, le modèle de menace inclut explicitement les attaquants internes ou latéralement mouvants. Un poste compromis sur le réseau d'entreprise peut atteindre l'interface d'administration ISE en interne. CVE-2026-20180 et 20186 exigent des privilèges read-only, un niveau d'accès fréquemment délégué à des prestataires externes ou à des équipes helpdesk. Le correctif s'impose même en environnement isolé.

Faut-il révoquer tous les tokens OAuth Webex après le patch ?

Cisco ne l'exige pas explicitement, mais la prudence recommande la rotation des sessions actives et des tokens d'intégration tierce (Microsoft Teams, Salesforce, Slack) connectés via SSO. Si une exploitation rétroactive de CVE-2026-20184 est ultérieurement démontrée, les tokens émis avant le changement de certificat resteraient valides et réutilisables.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact