En bref

  • Cisco PSIRT confirme l'exploitation active de CVE-2026-20133 dans Catalyst SD-WAN Manager.
  • La faille expose des données sensibles du système d'exploitation à un attaquant distant.
  • Cisco publie un correctif et appelle à appliquer les workarounds pour les déploiements non patchables immédiatement.

Les faits

Le 24 avril 2026, l'équipe PSIRT de Cisco a confirmé être informée de tentatives d'exploitation de la CVE-2026-20133, une vulnérabilité de divulgation d'information critique affectant Cisco Catalyst SD-WAN Manager. La faille permet à un attaquant distant non authentifié, ou faiblement authentifié selon le profil de déploiement, d'accéder à des données sensibles du système d'exploitation sous-jacent : fichiers de configuration, hashes de mots de passe locaux, et certaines portions de la mémoire processus.

Selon Security Online, l'exploitation observée s'inscrit dans une campagne de reconnaissance visant les opérateurs de réseaux d'entreprise utilisant SD-WAN Manager comme orchestrateur central. Les attaquants exploitent la faille pour cartographier la topologie SD-WAN, extraire les credentials d'administration, puis basculer vers des attaques ciblées sur les routeurs périphériques. Cisco recommande la mise à jour vers la dernière version mineure publiée la semaine du 21 avril, et fournit en parallèle des règles Snort pour détecter les requêtes d'exploitation.

Impact et exposition

Cisco Catalyst SD-WAN Manager est déployé chez un grand nombre d'opérateurs et d'entreprises multinationales pour orchestrer la connectivité de centaines à milliers de sites. Une compromission de l'orchestrateur signifie un accès potentiel à l'ensemble des routeurs SD-WAN gérés, avec capacité de modifier les politiques de routage, d'injecter du trafic, ou de déployer des images firmware altérées. Les déploiements exposés à Internet pour des besoins de gestion à distance sont particulièrement à risque.

Recommandations

  • Appliquer immédiatement la mise à jour Cisco Catalyst SD-WAN Manager publiée en avril 2026.
  • Restreindre l'accès aux interfaces de gestion via VPN site-à-site, listes blanches d'IP, et authentification multifacteur obligatoire pour les comptes administrateurs.
  • Auditer les logs SD-WAN Manager pour détecter les accès anormaux : connexions hors heures ouvrées, requêtes API inhabituelles, créations de comptes non documentées.
  • Renouveler les credentials administratifs et les clés API si une compromission est suspectée, avant tout autre action.

Alerte critique

L'exploitation est confirmée par Cisco PSIRT. Les déploiements SD-WAN Manager exposés sans correctif doivent être considérés comme cibles prioritaires d'attaques en cours.

Quels indicateurs surveiller pour détecter une exploitation de CVE-2026-20133 ?

Les requêtes HTTP entrantes vers des endpoints d'API SD-WAN Manager renvoyant des contenus de fichiers système, les sessions API authentifiées avec des temps de réponse anormalement longs et des volumes de données sortants inhabituels, et toute activité d'administration émanant d'IP non whitelistées doivent déclencher une investigation immédiate.

Si je ne peux pas patcher immédiatement, quelles mesures appliquer en urgence ?

Couper l'exposition Internet du panneau de gestion via le firewall périphérique, forcer l'authentification multifacteur sur l'ensemble des comptes, et déployer les règles Snort fournies par Cisco au niveau du flux entrant. Ces mesures réduisent la surface sans corriger la faille, et restent transitoires.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit