En bref

  • CVE-2026-20180 (CVSS 9.9) : injection de commandes dans Cisco Identity Services Engine (ISE) menant à une RCE root.
  • Vecteur : requête HTTP malveillante envoyée par un administrateur disposant au minimum de droits Read Only Admin.
  • Action : appliquer le correctif Cisco dès sa publication, durcir les contrôles d'accès aux comptes ISE et auditer les logs d'administration.

Les faits

Cisco a publié le 15 avril 2026 un advisory pour CVE-2026-20180, une vulnérabilité critique notée 9.9 sur l'échelle CVSS qui affecte la plateforme Cisco Identity Services Engine (ISE) et sa déclinaison ISE Passive Identity Connector (ISE-PIC). La faille résulte d'une validation insuffisante des entrées utilisateur sur certains endpoints HTTP de l'interface d'administration : un attaquant authentifié peut injecter des commandes système dans des paramètres traités par le moteur applicatif. Selon les détails publiés par Cisco et relayés par la presse spécialisée, l'exploitation se déclenche par l'envoi d'une requête HTTP spécialement forgée vers un device ISE accessible. L'attaquant obtient une exécution de code arbitraire au niveau du système d'exploitation sous-jacent, avec un accès initial de niveau utilisateur ; une escalade de privilèges vers root est documentée comme atteignable dans la chaîne d'exploitation. Sur les déploiements ISE mono-noeud, la vulnérabilité peut également déclencher un déni de service complet, rendant le noeud indisponible et bloquant l'accès des terminaux non authentifiés au réseau d'entreprise.

Le prérequis d'authentification est volontairement bas : un compte Read Only Admin suffit. Or ces comptes sont fréquemment distribués à des opérateurs réseau, des équipes d'audit interne ou des prestataires, sans contrôle d'accès strict. Combinée à des credentials fuités via phishing, à un compte de service mal protégé ou à une session admin laissée ouverte, la faille devient triviale à exploiter. Cisco classe l'advisory sous le code cisco-sa-ise-multi-3VpsXOxO et anticipe la publication rapide d'exploits publics. Ce CVE rejoint d'autres failles récentes dans des équipements Cisco stratégiques, comme les deux failles critiques Cisco IMC et SSM corrigées en mars 2026.

Impact et exposition

Cisco ISE est le pilier du Network Access Control (NAC) dans une grande majorité d'entreprises. Une compromission de la plateforme donne à l'attaquant la capacité d'autoriser arbitrairement n'importe quel terminal sur le réseau, de pivoter vers les segments protégés, de désactiver des règles de profilage 802.1X ou de manipuler les flux RADIUS/TACACS+. C'est l'équivalent d'une prise de contrôle de la couche d'authentification réseau. Sur les architectures où ISE arbitre l'accès aux datacenters ou aux environnements OT/industriels, la portée d'une exploitation est dévastatrice : pivot vers des automates, des bases de données critiques ou des hyperviseurs internes. Aucune exploitation active n'est confirmée publiquement à ce stade, mais le score CVSS 9.9 et la simplicité du vecteur classent cette faille parmi les vulnérabilités à patcher en priorité absolue. Le profil de risque rappelle d'autres failles d'infrastructure d'identité récemment publiées comme CVE-2026-1346 dans IBM Verify Access, ou la RCE critique sur Oracle Identity Manager.

Recommandations immédiates

  • Appliquer le correctif Cisco dès sa publication, référencé dans l'advisory cisco-sa-ise-multi-3VpsXOxO. Au moment de la divulgation, certaines versions ne disposent pas encore de patch ; surveiller activement les mises à jour Cisco PSIRT.
  • Restreindre l'accès à l'interface d'administration ISE (port 443, ports 9060/9063 pour ERS/REST) à un sous-réseau de management isolé, jamais exposé sur Internet ni sur les VLAN utilisateur.
  • Auditer immédiatement les comptes Read Only Admin, Helpdesk Admin et SuperAdmin : désactiver les comptes inutilisés, faire tourner les mots de passe, imposer la MFA via un IdP externe.
  • Activer la journalisation détaillée des actions d'administration et exporter les logs vers un SIEM hors-ISE pour conserver la traçabilité même en cas de compromission.
  • Vérifier les logs application pour détecter des requêtes HTTP suspectes contenant des caractères shell (point-virgule, pipe, dollar-parenthèses, backticks) sur les endpoints d'administration.
  • Sur les déploiements mono-noeud, prévoir une procédure de bascule manuelle vers une authentification dégradée (local override) en cas de DoS.

Urgence

CVSS 9.9 sur la pierre angulaire du NAC d'entreprise. Même sans exploitation publique connue, la fenêtre entre la publication d'un advisory Cisco et l'apparition d'exploits PoC est historiquement de quelques jours. Toute organisation utilisant Cisco ISE doit traiter ce CVE comme une remédiation critique sous 72 heures.

Comment vérifier si mon Cisco ISE est vulnérable ?

Connectez-vous à l'interface ISE en SuperAdmin et consultez la version exacte via About puis Cisco Identity Services Engine, ou exécutez show version en CLI. Comparez ce numéro de build à la liste des versions affectées publiée dans l'advisory cisco-sa-ise-multi-3VpsXOxO. Cisco fournit également un outil officiel d'évaluation des vulnérabilités logicielles intégré au portail support qui prend en compte les déclinaisons ISE et ISE-PIC.

Quelles mitigations si aucun patch n'est disponible ?

En l'absence de correctif, isoler le plan de management ISE est la priorité : ACL stricte filtrant l'accès à l'interface admin sur des IPs jumpbox uniquement, désactivation des comptes Read Only non essentiels, surveillance renforcée des sessions actives. Cette approche défensive en profondeur est aussi celle recommandée pour d'autres failles d'équipements réseau récentes, comme CVE-2026-21902 sur Juniper PTX.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit