CVE-2026-20182 : auth bypass Cisco SD-WAN exploité (10.0)

Les faits

CVE-2026-20182 est une vulnérabilité de contournement d'authentification de gravité maximale affectant Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage). Le score CVSSv3.1 atteint 10.0 — la note maximale — avec un vecteur AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H et la classification CWE-287 (Improper Authentication). La faille a été ajoutée au catalogue Known Exploited Vulnerabilities (KEV) de la CISA le 14 mai 2026 après confirmation d'une exploitation active en environnement client.

Selon l'advisory Cisco cisco-sa-sdwan-rpa2-v69WY2SW publié par le Cisco Product Security Incident Response Team (PSIRT), la vulnérabilité réside dans le mécanisme d'authentification de peering du service vdaemon. Ce service expose l'interface DTLS (Datagram Transport Layer Security) sur le port UDP 12346, par lequel les contrôleurs SD-WAN, edges et manager échangent leur état de fabrique. La faille permet à un attaquant distant non authentifié d'établir une session DTLS « légitime » côté contrôleur en se faisant passer pour un peer autorisé, sans présenter les certificats normalement attendus.

Une fois la session de peering acceptée, l'attaquant peut effectuer des opérations administratives privilégiées sur l'appareil cible. D'après l'analyse de Rapid7, la primitive principale documentée consiste à injecter une clé publique SSH contrôlée par l'attaquant dans le fichier authorized_keys du compte vmanage-admin — ce qui ouvre la voie à une connexion SSH directe avec les privilèges les plus élevés sur l'appliance, et donc à la prise de contrôle complète du plan de management SD-WAN.

La vulnérabilité touche le même service vdaemon que CVE-2026-20127 (corrigée plus tôt), mais Cisco précise explicitement qu'il ne s'agit pas d'un patch bypass : c'est une faille distincte située dans une partie similaire de la pile réseau de vdaemon. Cette précision suggère que vdaemon a probablement souffert d'erreurs de conception systémiques dans la validation des peers, et que d'autres surfaces voisines pourraient encore receler des défauts similaires. D'après Tenable, l'examen du code a montré que la logique d'authentification reposait sur des hypothèses implicites jamais vérifiées explicitement.

Côté chronologie, le PSIRT Cisco indique avoir été alerté début mai 2026 par un client signalant un comportement anormal de son fabric SD-WAN — création de comptes inattendus et apparition de clés SSH non documentées sur vmanage-admin. Cisco Talos a ouvert l'investigation, isolé l'activité de l'attaquant sous le cluster UAT-8616 (avec un niveau de confiance élevé), confirmé l'exploitation in-the-wild sur plusieurs entités, et publié l'advisory en coordination avec l'inscription au KEV par la CISA le 14 mai 2026.

Selon SecurityAffairs et The Hacker News, l'activité UAT-8616 cible principalement des opérateurs telcos et de grandes entreprises disposant de fabrics SD-WAN multi-régions. L'attaquant établit une persistance via la clé SSH injectée, puis pivote vers les edges via les API de management SD-WAN, ce qui lui donne un point d'observation et de contrôle stratégique sur l'ensemble du trafic site-à-site de la cible. Le blog de Cisco Talos décrit une chaîne d'exploitation post-accès incluant l'exfiltration de configurations de routage et la mise en place de tunnels de sortie additionnels.

La cause technique précise n'est pas entièrement publiée — Cisco maintient un niveau de détail volontairement limité dans l'advisory pour ne pas accélérer la diffusion d'exploits — mais Rapid7 indique qu'un PoC fonctionnel n'est pas encore public. Néanmoins, l'inscription au KEV avec un score CVSS de 10.0 et la confirmation d'exploitation rendent l'écart entre publication de l'advisory et émergence d'exploits publics extrêmement court : les équipes de défense doivent considérer qu'un exploit fonctionnel sera reproduit publiquement dans les jours qui viennent.

Cisco a publié des versions corrigées pour toutes les branches supportées du Catalyst SD-WAN Controller et du SD-WAN Manager via l'advisory cisco-sa-sdwan-rpa2-v69WY2SW. Les versions concernées et les correctifs précis sont listés dans l'advisory ; la mise à jour requiert généralement une fenêtre de maintenance courte mais doit être coordonnée car le SD-WAN Manager pilote l'ensemble du fabric.

Impact et exposition

Les organisations exposées sont toutes celles déployant Cisco Catalyst SD-WAN (vSmart / vManage) — un produit présent chez de nombreux opérateurs télécom, services managés, grandes entreprises multi-sites, banques, retailers, et opérateurs d'infrastructures critiques. La prise de contrôle de vManage par un attaquant équivaut au contrôle effectif du plan de management de tout le réseau WAN de l'organisation : routage, politiques de sécurité, segmentation, accès Internet et sorties cloud.

La condition d'exploitation est minimale : accès réseau au port UDP 12346 du contrôleur ou du manager. Dans une architecture SD-WAN, ce port est par construction joignable depuis tous les edges, donc potentiellement exposé sur Internet pour les contrôleurs hébergés en cloud ou DMZ. Un attaquant qui contrôle un site distant ou parvient à intercepter le trafic peering vers le contrôleur dispose donc des prérequis suffisants pour exploiter la faille.

Le facteur aggravant majeur est que la compromission de vManage est silencieuse : l'attaquant peut consulter et modifier les configurations sans déclencher d'alerte simple. La persistance via clé SSH ajoutée à vmanage-admin survit aux redémarrages et aux upgrades partiels. L'exfiltration de la topologie complète du WAN d'un opérateur est un actif stratégique pour des acteurs étatiques, ce qui correspond au profil opérationnel de UAT-8616 décrit par Talos.

Le périmètre d'attaque dépasse Cisco Catalyst SD-WAN au sens strict : tout fabric historiquement migré depuis Viptela (rachat Cisco 2017) reste sur la même base de code vdaemon. Les déploiements managés par des prestataires de services télécom doivent être considérés comme exposés tant que les opérateurs n'ont pas confirmé l'application du patch et la rotation des clés SSH d'administration.

Recommandations immédiates

• Appliquer immédiatement les versions correctives listées dans l'advisory Cisco cisco-sa-sdwan-rpa2-v69WY2SW pour Cisco Catalyst SD-WAN Controller (vSmart) et SD-WAN Manager (vManage) — y compris pour les déploiements managés par tiers (faire confirmer le statut au prestataire par écrit).
• À défaut de patch immédiat, restreindre l'accès au port UDP 12346 du contrôleur/manager via ACL réseau strictes pour n'autoriser que les IP sources de peers SD-WAN connus (whitelist explicite par adresse, pas par sous-réseau large).
• Auditer /home/vmanage-admin/.ssh/authorized_keys (et équivalents) à la recherche de clés publiques inattendues — toute clé non corrélée à une opération documentée doit être supprimée immédiatement.
• Faire tourner tous les certificats de fabric SD-WAN et toutes les clés SSH d'administration après mise à jour, en partant du principe que l'environnement a pu être compromis.
• Exporter et archiver hors site l'historique complet des logs vManage (audit log, configuration push, sessions SSH) pour analyse forensique a posteriori.
• Surveiller spécifiquement le cluster d'activité UAT-8616 documenté par Cisco Talos : créer des règles SIEM sur les patterns de comptes admin créés hors fenêtre de changement et sur les ajouts d'authorized_keys.
• Pour les opérateurs telco gérant du SD-WAN pour compte client, notifier proactivement les clients exposés et coordonner les fenêtres de patch.