En bref

  • CVE-2026-20182 : contournement d''authentification Cisco Catalyst SD-WAN Controller, CVSS 10.0, exploité en zero-day par le groupe UAT-8616.
  • Une logique de validation des pairs oublie le type d''appareil vHub, ce qui permet à un attaquant non authentifié d''injecter une clé SSH dans le compte vmanage-admin.
  • CISA impose le patch avant le 17 mai 2026 pour les agences fédérales. Aucun contournement n''existe.

Les faits

Le 14 mai 2026, Cisco publie un avis de sécurité urgent classé Critical pour la vulnérabilité CVE-2026-20182, affectant les produits Cisco Catalyst SD-WAN Controller et Cisco Catalyst SD-WAN Manager. L''avis confirme l''existence d''une exploitation active en zero-day par un acteur que Talos qualifie de hautement sophistiqué et suit sous le code UAT-8616. Le CVSS atteint le maximum théorique de 10.0, une note rarement attribuée par Cisco.

L''origine du bug est édifiante. Le mécanisme d''authentification entre pairs vSmart, vManage, vEdge et vHub repose sur la validation d''un type d''équipement transmis dans le message CHALLENGE_ACK. Le code source valide les types 1 (vEdge), 3 (vSmart) et 5 (vManage) avec des contrôles de certificat, mais le type 2 (vHub) ne dispose d''aucune branche de vérification. Un attaquant qui se déclare comme vHub voit donc tous les contrôles cryptographiques court-circuités. Du code mort, ou plutôt un cas oublié dans un switch, devient une porte d''entrée.

Concrètement, un attaquant distant non authentifié envoie un message CHALLENGE_ACK forgé en se présentant comme un vHub, devient pair authentifié du contrôleur cible, puis exécute des opérations privilégiées. Talos documente le scénario observé en production : injection d''une clé SSH publique contrôlée par l''attaquant dans le fichier authorized_keys du compte vmanage-admin. À partir de là, l''attaquant ouvre une session SSH et prend la main sur le contrôleur.

Une fois sur la machine, le groupe UAT-8616 a été observé en train de descendre la version logicielle pour réintroduire une ancienne faille d''élévation de privilèges (CVE-2022-20775) et obtenir root. Cette technique de downgrade volontaire est révélatrice d''un acteur méthodique, qui maîtrise l''écosystème logiciel Cisco et opère probablement depuis plusieurs mois sur ces équipements.

Ce qui rend cet incident particulièrement préoccupant, c''est le rôle stratégique du Cisco Catalyst SD-WAN Controller. Cet équipement orchestre les politiques de routage, les tunnels chiffrés et la segmentation entre sites distants pour des milliers d''entreprises, dont de grands comptes financiers, industriels et opérateurs télécoms. Compromettre le contrôleur revient à compromettre la fabric SD-WAN complète : exfiltration de données, redirection de trafic, pivot vers les sites distants.

Le 14 mai 2026, CISA ajoute CVE-2026-20182 à son catalogue des Known Exploited Vulnerabilities (KEV) et impose aux agences fédérales américaines un patch obligatoire sous trois jours, soit avant le 17 mai 2026. Cisco confirme dans son avis qu''aucun workaround applicatif n''existe et que la mise à jour vers les versions corrigées est la seule remédiation possible. Source : Cisco Security Advisory du 14 mai 2026, blog Talos Intelligence, bulletin CISA KEV.

Impact et exposition

Les versions affectées couvrent toutes les branches 17.x et 20.x non corrigées du Catalyst SD-WAN Controller et du SD-WAN Manager. Les correctifs publiés concernent les versions 20.12.5.2, 20.13.2.3 et 20.14.1.2, ainsi que les builds postérieurs. Toute organisation utilisant un overlay Cisco SD-WAN auto-hébergé est exposée si le contrôleur est accessible depuis internet, ce qui est le cas par défaut dans les architectures cloud onPrem ou hybrides.

Le périmètre français est non négligeable. Plusieurs grands intégrateurs (Orange Cyberdefense, Capgemini, Atos) déploient cette stack chez des clients du CAC 40 et du secteur public. Les MSSP gérant des fabrics SD-WAN multi-tenants doivent considérer leurs contrôleurs comme prioritaires.

Recommandations

  • Patcher immédiatement vers Cisco SD-WAN Manager 20.12.5.2, 20.13.2.3, 20.14.1.2 ou supérieur. Cisco a publié simultanément les binaires corrigés.
  • Restreindre l''accès au plan de contrôle SD-WAN (ports 830, 8443) au strict nécessaire via ACL réseau et VPN d''administration.
  • Auditer le fichier /home/vmanage-admin/.ssh/authorized_keys et tous les comptes admin pour détecter des clés SSH inconnues.
  • Inspecter les logs d''audit du contrôleur à la recherche de connexions CHALLENGE_ACK provenant d''adresses IP inhabituelles ou de paires vHub non documentées.
  • Vérifier qu''aucun downgrade logiciel récent n''a été initié, indicateur fort de compromission par UAT-8616.

Alerte critique

CVSS 10.0, exploitation active par un acteur étatique présumé, aucun workaround : cette vulnérabilité est l''une des pires de l''année 2026 sur un équipement de cœur de réseau. Les organisations qui n''auront pas patché sous 72 heures doivent considérer leur contrôleur comme potentiellement compromis et lancer une investigation forensique.

UAT-8616 vise quels secteurs en priorité ?

Selon les éléments publiés par Cisco Talos, le groupe cible prioritairement des opérateurs de télécommunications, des fournisseurs de services managés (MSP/MSSP) et des grandes entreprises ayant un overlay SD-WAN multi-sites. Le profil tactique évoque un acteur de type renseignement étatique cherchant à établir une présence persistante dans des fabrics réseau d''importance stratégique, sans déploiement de ransomware ni demande financière.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu''elles ne soient exploitées.

Demander un audit