Cisco SD-WAN Manager : 3 failles ajoutees au KEV CISA

Les faits

Le 20 avril 2026, la CISA a ajoute trois vulnerabilites distinctes touchant Cisco Catalyst SD-WAN Manager (ex-vManage) a son catalogue Known Exploited Vulnerabilities, avec un delai de remediation federal fixe au 23 avril 2026. La premiere, CVE-2026-20122, est une mauvaise utilisation d'API privilegiees qui permet, via une manipulation de fichiers, d'ecraser des fichiers systeme et d'obtenir les privileges eleves du role vManage. La seconde, CVE-2026-20128, decoule du stockage de mots de passe dans un format recuperable : un attaquant local faiblement privilegie peut recuperer les fichiers de credentials et escalader vers le compte DCA. La troisieme, CVE-2026-20133, expose des informations sensibles a des acteurs non autorises, permettant a un attaquant distant de consulter des donnees reseau confidentielles. Selon Cisco Talos, les attaques observees in-the-wild sont attribuees au groupe UAT-8616, actif depuis 2023 sur la pile SD-WAN Cisco.

Ces trois failles ont ete publiees simultanement dans un bulletin Cisco consacre a la pile SD-WAN. Combinees, elles constituent une chaine d'exploitation permettant a un attaquant de decouvrir une instance vManage, d'extraire des credentials stockes en clair ou reversibles, puis d'utiliser ces identifiants pour exploiter CVE-2026-20122 et prendre le controle total du controleur. Les indicateurs publies par la CISA mentionnent des connexions sortantes vers une infrastructure de commande et controle liee a UAT-8616, ainsi que l'ajout de comptes administrateurs persistants sur les vManage compromis. Cette combinaison de primitives d'ecrasement de fichiers et d'exposition de secrets place l'ensemble de la configuration reseau des organisations concernees sous le controle potentiel de l'attaquant.

Impact et exposition

Cisco Catalyst SD-WAN Manager pilote la topologie, les politiques de routage, le filtrage et la segmentation d'un large nombre de reseaux d'entreprise et de reseaux federaux. Une compromission permet de rerouter du trafic, d'installer des tunnels malveillants, d'ouvrir des breches dans les ACL, de lire les cles IPsec partagees et d'observer l'ensemble des flux inter-sites. Les agences FCEB sont prioritaires avec l'echeance du 23 avril 2026, mais toute organisation exploitant vManage (privee, sante, industrie, operateurs) est concernee par le meme niveau de risque. L'exposition est amplifiee lorsque l'interface de gestion est accessible depuis des segments reseau peu segreges ou, pire, exposee sur Internet, ce qui reste frequent sur les deploiements historiques.

Recommandations immediates

• Appliquer immediatement les correctifs listes dans l'advisory Cisco SD-WAN auth bypass et verifier la version deployee de vManage.
• Inventorier les instances vManage exposees et retirer toute exposition Internet non strictement necessaire.
• Rotation obligatoire des credentials stockes et des cles partagees IPsec apres patch, pour invalider toute copie potentiellement exfiltree.
• Rechercher les indicateurs de compromission publies par CISA et Cisco Talos pour UAT-8616 : comptes administrateur inconnus, modifications de politiques, connexions sortantes atypiques.
• Deployer une segmentation reseau stricte isolant le plan de gestion SD-WAN des reseaux utilisateurs.