Cisco SD-WAN : le 7e zero-day 2026 frappe sans correctif

Sept zero-days SD-WAN en cinq mois : le détail de la dernière faille Cisco sans correctif

Le 5 juin 2026, Cisco a publié un avis de sécurité d'urgence révélant l'exploitation active d'une nouvelle vulnérabilité zero-day dans le Cisco Catalyst SD-WAN Manager : CVE-2026-20245. Découverte et signalée à Cisco par Mandiant — filiale de Google Cloud spécialisée dans la réponse aux incidents et l'attribution de cyberattaques — lors d'investigations menées chez des clients compromis, cette faille marque le septième zero-day confirmé dans la gamme SD-WAN de l'équipementier américain depuis janvier 2026. En moins de cinq mois, cette accumulation dépasse de loin toutes les séries précédentes documentées pour un même sous-système d'un seul fournisseur d'infrastructure réseau.

Sur le plan technique, CVE-2026-20245 réside dans une validation insuffisante des données fournies par l'utilisateur au niveau de l'interface de ligne de commande (CLI) du Cisco Catalyst SD-WAN Manager. Un attaquant disposant d'un accès authentifié local — c'est-à-dire d'un compte valide sur le système — peut télécharger un fichier spécifiquement forgé sur l'instance affectée. L'exécution de ce fichier déclenche des commandes arbitraires avec les privilèges root, le niveau d'accès le plus élevé possible sur un système Linux. Une fois cette élévation de privilèges obtenue, l'attaquant dispose d'un contrôle complet sur l'orchestrateur réseau.

La criticité de cette compromission ne se limite pas au serveur lui-même. Le SD-WAN Manager (anciennement vManage) est le plan de contrôle centralisé qui pilote l'ensemble des routeurs et équipements SD-WAN gérés par la plateforme. En prenant le contrôle de ce composant, un attaquant peut modifier les règles de routage de l'intégralité du réseau distribué — potentiellement des centaines ou des milliers de sites distants — créer des tunnels VPN non autorisés pour exfiltrer des données, intercepter du trafic en transit, ou bloquer sélectivement des connexions critiques. Dans le contexte des réseaux d'entreprises modernes où le SD-WAN remplace les architectures MPLS traditionnelles, le plan de contrôle constitue un point de défaillance unique à très haute valeur stratégique pour un attaquant.

La portée de la vulnérabilité est universelle parmi toutes les configurations supportées. Cisco confirme que CVE-2026-20245 affecte indistinctement : les déploiements On-Premises classiques, le Cisco SD-WAN Cloud-Pro, le Cisco SD-WAN Cloud entièrement managé par Cisco, et le Cisco SD-WAN for Government certifié FedRAMP, utilisé par les agences gouvernementales américaines. Cette absence de discrimination selon le mode de déploiement interdit à toute organisation de se considérer épargnée sur la seule base de son architecture.

La situation est d'autant plus préoccupante qu'aucun correctif dédié n'est disponible à la date de divulgation et qu'aucun contournement officiel n'existe. Cisco recommande aux clients de migrer vers les versions du firmware qui corrigent CVE-2026-20182, publiées le 14 mai 2026, car ces versions apportent une atténuation partielle du vecteur d'attaque lié à CVE-2026-20245. Un correctif complet sera intégré dans une prochaine version du Catalyst SD-WAN Manager, sans calendrier précisé. Cette situation contraint les organisations à opérer sans filet pendant une durée indéterminée, en s'appuyant sur des mesures compensatoires.

Du côté du contexte d'exploitation, le fait que Mandiant soit à l'origine de la découverte est un signal fort quant à la nature de la menace. La firme, dont la réputation en matière d'attribution d'attaques à des acteurs étatiques est établie de longue date, ne divulgue pas l'identité des attaquants à ce stade. Le profil des investigations de réponse à incident dans lesquelles la faille a été identifiée — ciblage précis, exploitation silencieuse, absence de demande de rançon — suggère toutefois une campagne d'espionnage ou de prépositionnement stratégique plutôt qu'une opération de cybercriminalité classique motivée par le gain financier immédiat.

La réaction de la CISA américaine est attendue imminemment. Pour CVE-2026-20182 — le sixième zero-day SD-WAN, CVSS 10.0 — l'agence avait émis la directive d'urgence ED 26-03 et imposé un délai de remédiation de trois jours aux agences civiles fédérales, le délai minimum autorisé par le catalogue KEV (Known Exploited Vulnerabilities). Une réaction comparable est anticipée pour CVE-2026-20245, d'autant que la version FedRAMP du SD-WAN Manager figure explicitement parmi les configurations affectées, impliquant directement des infrastructures gouvernementales américaines.

La chronologie complète des sept zero-days SD-WAN exploités en 2026 est la suivante : CVE-2026-20128, CVE-2026-20122, CVE-2026-20133, CVE-2026-20127 (premier trimestre), CVE-2026-20182 (CVSS 10.0, patché le 14 mai, ED 26-03 émise par la CISA), et désormais CVE-2026-20245 (signalé le 5 juin, sans patch). Selon le catalogue KEV, 15 vulnérabilités Cisco SD-WAN y figurent au total, dont six découvertes sur les cinq premiers mois de 2026 — une concentration inédite pour un composant d'infrastructure réseau d'entreprise commerciale.

Pourquoi cette série signale un ciblage systématique et organisé de l'infrastructure réseau

Les équipements Cisco Catalyst SD-WAN constituent l'épine dorsale des réseaux d'entreprises distribuées et des environnements multi-cloud dans de nombreuses organisations mondiales. Cisco, leader du marché avec cette gamme issue de l'acquisition de Viptela en 2017, est naturellement une cible prioritaire pour les acteurs menaçants cherchant à obtenir un accès persistant et discret sur des réseaux d'entreprise à grande échelle. La centralisation inhérente à ces architectures — un seul SD-WAN Manager pouvant orchestrer des centaines de sites — est à la fois leur atout opérationnel et leur talon d'Achille sécuritaire : compromettre l'orchestrateur, c'est compromettre le réseau entier depuis un point unique.

La séquence de sept zero-days en cinq mois dépasse ce qui peut s'expliquer par une recherche opportuniste de vulnérabilités. Elle indique que des chercheurs offensifs — vraisemblablement financés par un ou plusieurs États — mènent une analyse systématique et continue du code de Cisco SD-WAN Manager, combinant reverse engineering des binaires, fuzzing automatisé des interfaces exposées, et analyse comparative des diffs entre versions corrigées pour identifier des patterns similaires dans le code non encore patché. Cette méthodologie explique la cadence soutenue des découvertes, qui dépasse structurellement la capacité de réponse normale d'un éditeur. Le fait que Mandiant soit précisément la firme qui a signalé ce dernier zero-day renforce significativement cette hypothèse d'attaquants étatiques.

Pour les responsables de la sécurité, la réponse immédiate doit couvrir plusieurs dimensions simultanément. D'abord, vérifier sans délai que les correctifs de mai 2026 pour CVE-2026-20182 sont appliqués sur toutes les instances SD-WAN Manager. Ensuite, auditer l'ensemble des comptes ayant accès à la CLI et supprimer les comptes dormants ou surdimensionnés en privilèges. Puis activer une surveillance renforcée des journaux d'audit : téléchargements de fichiers inhabituels, exécutions de commandes en mode privilégié, connexions en dehors des horaires habituels. Enfin, isoler l'interface de gestion du SD-WAN Manager derrière un bastion d'accès strict avec authentification multifacteur et journalisation complète des sessions — une mesure qui réduit significativement la surface exploitable même en l'absence de patch.

À l'échelle de l'industrie, cette crise interpelle sur les critères de sécurité qui devraient figurer dans les appels d'offres d'infrastructure réseau. Les acheteurs publics et privés devraient désormais exiger des fournisseurs des engagements formels sur leurs pratiques de développement sécurisé (Secure Development Lifecycle), sur les délais maximaux de publication des correctifs, et sur l'existence de programmes de divulgation responsable (bug bounty) couvrant spécifiquement les équipements réseau. La dynamique observée chez Cisco SD-WAN en 2026 illustre concrètement ce qu'une insuffisance dans ces pratiques peut engendrer en termes de risque opérationnel pour des milliers d'organisations clientes à travers le monde.

Ce qu'il faut retenir

• CVE-2026-20245 est le 7e zero-day Cisco SD-WAN activement exploité en 2026 — aucun patch ni contournement disponible, découverte signalée par Mandiant lors de réponses à incident.
• La faille permet une exécution de commandes root sur le Catalyst SD-WAN Manager via un fichier forgé en CLI authentifiée, tous modes de déploiement affectés dont FedRAMP gouvernemental.
• Action immédiate : appliquer les correctifs CVE-2026-20182 (mai 2026), restreindre et auditer les accès CLI, mettre en place une surveillance renforcée des journaux en attendant le patch dédié.