CVE-2026-20245 : 0-day Cisco SD-WAN Manager, root sans patch

Les faits

Le 5 juin 2026, Cisco a publie un avis de securite d'urgence pour CVE-2026-20245, une vulnerabilite d'elevation de privileges activement exploitee dans Cisco Catalyst SD-WAN Manager. La divulgation acceleree, en l'absence de correctif, temoigne de la gravite de la situation : le Cisco Product Security Incident Response Team (PSIRT) a ete alerte par Mandiant, la filiale cybersecurite de Google Cloud, apres que des cas d'exploitation reelle ont ete confirmes en production. Le CERT-FR a publie l'avis CERTFR-2026-AVI-0699 en consequence, recommandant une vigilance immediate pour les organisations operant des infrastructures SD-WAN Cisco.

La faille reside dans l'interface de ligne de commande (CLI) de Cisco Catalyst SD-WAN Manager. Le mecanisme de chargement de fichiers ne procede pas a une validation suffisante des entrees utilisateur avant d'executer des operations systeme. Un attaquant disposant de privileges netadmin, le niveau d'acces reseau standard pour l'administration SD-WAN, peut televerser un fichier specialement concu via la CLI pour declencher une injection de commandes arbitraires executees en tant que root. Cataloguee sous CWE-78 (Improper Neutralization of Special Elements used in an OS Command), la vulnerabilite offre un vecteur d'escalade vers le niveau de privileges le plus eleve du systeme, avec un acces root complet sur le serveur SD-WAN Manager.

Le score CVSS 3.1 de CVE-2026-20245 est etabli a 7.8 (High), avec le vecteur AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Ce score traduit une exploitation locale (acces CLI requis), de faible complexite, necessitant des privileges bas (netadmin) et sans interaction utilisateur. Si l'impact est qualifie de local dans la nomenclature CVSS, il convient de souligner que dans une architecture SD-WAN d'entreprise, l'acces netadmin est frequemment accessible via VPN ou via des interfaces d'administration exposees sur internet, ce qui amplifie considerablement la surface d'attaque reelle au-dela de ce que suggere le score CVSS.

L'aspect le plus preoccupant de CVE-2026-20245 est sa nature d'exploitation en chaine. Selon l'advisory Cisco cisco-sa-sdwan-mltvnps2-JxpWm7R, deux autres vulnerabilites publiees le 14 mai 2026, CVE-2026-20182 (contournement d'authentification dans SD-WAN Manager) et CVE-2026-20127 (injection de commandes pre-authentifiee), constituent des vecteurs d'acces initiaux permettant d'obtenir les privileges netadmin necessaires a l'exploitation de CVE-2026-20245. Un attaquant peut ainsi enchainer : compromission initiale via CVE-2026-20182 ou CVE-2026-20127, puis elevation de privileges root via CVE-2026-20245. Ce scenario de triple compromission aboutit au controle total du gestionnaire SD-WAN et, par extension, a la capacite de modifier les configurations de l'ensemble des equipements edge geres.

L'exploitation observee en production a conduit a des modifications de configuration sur des equipements edge SD-WAN, selon les declarations de Cisco PSIRT. Ce vecteur de compromission est particulierement dangereux dans les architectures SD-WAN, qui centralisent le controle de politiques reseau s'appliquant a l'ensemble des branches d'une organisation. En prenant le controle du SD-WAN Manager, un attaquant peut rediriger des flux reseau, inserer des regles de routage malveillantes, desactiver des segments securises ou exfiltrer des donnees en traversant silencieusement l'infrastructure. L'impact depasse donc largement le serveur compromise lui-meme pour s'etendre a toute l'infrastructure reseau etendue pilotee par le gestionnaire SD-WAN.

Les versions affectees couvrent toutes les branches actives de Cisco Catalyst SD-WAN Manager, sans distinction de mode de deploiement : on-premises, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud gere par Cisco, et Cisco SD-WAN for Government (FedRAMP). Cette universalite signifie que les organisations ayant migre vers le cloud gere Cisco ne beneficient d'aucune protection automatique. Cisco indique travailler activement a un correctif, mais aucune date de disponibilite n'a ete communiquee au 8 juin 2026.

En l'absence de patch pour CVE-2026-20245, Cisco recommande en priorite d'appliquer les correctifs deja publies pour CVE-2026-20182 (advisory cisco-sa-sdwan-authbp-qwCX8D4v) et CVE-2026-20127, qui constituent les principaux vecteurs d'acces initial. Sans ces points d'entree, l'exploitation devient significativement plus difficile car elle suppose que l'attaquant dispose deja de credentials netadmin legitimes. Par ailleurs, Cisco conseille de verifier les configurations des equipements edge pour detecter toute modification non autorisee, en comparant les configurations actuelles avec les dernieres sauvegardes validees.

Le contexte de cette divulgation est notable : Mandiant a signale l'exploitation a Cisco, ce qui suggere que des acteurs de menace avances, APT ou groupes de cybercriminalite organises, sont impliques dans les attaques observees. La combinaison d'une vulnerabilite activement exploitee, d'une chaine d'exploitation multi-CVE et de l'absence de correctif represente une alerte de niveau maximum pour les operateurs d'infrastructure SD-WAN Cisco. Les equipes SOC doivent activer des regles de detection specifiques sur les interfaces de management SD-WAN et surveiller tout acces inhabituel aux API de configuration des equipements edge.

Impact et exposition

Les infrastructures SD-WAN Cisco sont deployees dans des environnements critiques : operateurs telecom, etablissements bancaires, administrations publiques, industries. Le Catalyst SD-WAN Manager centralisant le controle de toutes les politiques reseau, sa compromission equivaut a la prise de controle totale du reseau WAN de l'organisation concernee. Les attaquants peuvent rediriger des flux de donnees, creer des routes fantomes pour l'exfiltration, ou desactiver des segments reseau de maniere ciblee pour faciliter une attaque plus large.

La surface d'exposition depend de l'accessibilite de l'interface CLI du SD-WAN Manager. Dans les deployements on-premises, cette interface est souvent restreinte au reseau interne ou a un VPN d'administration dedie. Cependant, dans les configurations Cloud-Pro ou Cloud gere, les interfaces de management sont accessibles via internet, exposant les organisations a une exploitation directe si les credentials netadmin sont compromis via phishing ou brute force. L'exploitation de CVE-2026-20182 (bypass auth) elimine meme cette barriere des credentials.

L'exploitation active confirmee par Cisco et Mandiant signifie que des organisations ont deja ete compromises avant la divulgation publique. Sans indicateurs de compromission (IOC) publics disponibles a ce jour, les equipes de securite doivent proceder a des audits de configuration approfondis et examiner les journaux d'acces a la CLI SD-WAN Manager sur les 60 derniers jours pour detecter toute activite suspecte.

Recommandations immediates

• Appliquer immediatement les patches pour CVE-2026-20182 et CVE-2026-20127 (Cisco Security Advisory cisco-sa-sdwan-mltvnps2-JxpWm7R) pour bloquer les vecteurs d'acces initial vers CVE-2026-20245
• Restreindre l'acces a l'interface CLI et API du SD-WAN Manager aux seules adresses IP de management autorisees via ACL reseau
• Auditer les configurations de tous les equipements edge et comparer avec des sauvegardes de reference datees d'avant le 1er juin 2026
• Activer la journalisation complete des acces CLI et configurer des alertes sur toute commande de chargement de fichier non planifiee
• Contacter Cisco TAC pour les deployements Cloud-Pro et Cloud gere afin de verifier l'application des mesures compensatoires
• Surveiller l'advisory Cisco cisco-sa-sdwan-mltvnps2-JxpWm7R pour la disponibilite du correctif CVE-2026-20245