En bref

  • CVE-2026-20245 (CVSS 7.8) : zero-day dans Cisco Catalyst SD-WAN Manager permettant à un attaquant authentifié avec des privilèges netadmin d'exécuter des commandes arbitraires en root via upload d'un fichier malveillant.
  • Systèmes affectés : Cisco Catalyst SD-WAN Manager dans toutes ses formes de déploiement (on-premises, Cloud-Pro, Cisco Managed Cloud, FedRAMP), toutes versions.
  • Action urgente : aucun correctif disponible — restreindre immédiatement les accès CLI netadmin, activer le MFA, surveiller les uploads et modifications de configuration des équipements edge.

Les faits

CVE-2026-20245 est un zero-day affectant Cisco Catalyst SD-WAN Manager, la plateforme centralisée d'orchestration et de gestion des déploiements Cisco SD-WAN. Découverte et signalée par les chercheurs de Google Mandiant — Chester Sng, Pete Boonyakarn et Logeswaran Nadarajan — cette vulnérabilité a été divulguée publiquement le 5 juin 2026 après que Cisco PSIRT a confirmé son exploitation active dans des incidents réels. Au moment de la rédaction de cet article, le 20 juin 2026, aucun correctif officiel n'est disponible de la part de Cisco.

Sur le plan technique, CVE-2026-20245 est classée comme une vulnérabilité d'encodage ou d'échappement incorrect des sorties (CWE-116 : Improper Encoding or Escaping of Output) dans l'interface en ligne de commande (CLI) de Cisco Catalyst SD-WAN Manager. L'insuffisance dans la validation des entrées fournies par l'utilisateur dans certains paramètres CLI permet à un attaquant d'uploader un fichier spécialement forgé via les fonctionnalités d'import de configuration. Lors du traitement de ce fichier par le système, des commandes arbitraires sont exécutées dans le contexte du processus hôte, qui opère avec les privilèges root. Aucune vulnérabilité d'élévation de privilèges supplémentaire n'est nécessaire, car le processus vulnérable s'exécute nativement en root sur le système sous-jacent.

La condition préalable d'exploitation est la possession de credentials avec des privilèges netadmin sur Cisco Catalyst SD-WAN Manager. Le rôle netadmin est le niveau d'accès administratif le plus élevé en dessous du root système, accordé aux administrateurs réseau responsables de la configuration SD-WAN. Bien que cette pré-condition limite l'exploitation opportuniste à grande échelle, elle ne protège pas contre plusieurs scénarios réalistes dans des contextes d'attaques ciblées : compromission d'un compte netadmin via phishing spear-phishing ou credential stuffing, insider threat, pivot depuis un système adjacent compromis, ou exploitation d'une vulnérabilité préalable pour obtenir l'accès netadmin. La valeur stratégique d'un accès root sur SD-WAN Manager — contrôle total de l'infrastructure réseau étendue — justifie amplement l'investissement en efforts d'un attaquant déterminé.

Cisco PSIRT a confirmé avoir été alerté d'une exploitation active avant la divulgation du 5 juin 2026, suggérant que la divulgation a été accélérée par la détection d'incidents réels plutôt que par un processus de divulgation responsable standard. Selon Help Net Security, les incidents documentés montrent que les attaquants ont exploité CVE-2026-20245 pour pousser des modifications de configuration malveillantes vers des équipements edge SD-WAN distants — routeurs cEdge ou vEdge — via les mécanismes d'orchestration légitimes de SD-WAN Manager. Cette capacité à altérer la configuration des équipements réseau depuis la plateforme de gestion centrale constitue un risque opérationnel majeur pour toute organisation déployant Cisco SD-WAN à grande échelle.

La CISA a ajouté CVE-2026-20245 à son catalogue Known Exploited Vulnerabilities le 9 juin 2026. Cette entrée est particulièrement significative pour une vulnérabilité sans correctif disponible : elle confirme officiellement l'exploitation active et envoie un signal clair aux organisations que la menace est réelle et opérationnelle, indépendamment de la disponibilité d'un patch. Les agences fédérales américaines ont été invitées à mettre en place des mesures de mitigation compensatoires dans les délais KEV standard, référencées dans le bulletin Cisco Advisory CVE-2026-20245.

Cisco Catalyst SD-WAN est une infrastructure critique pour de nombreuses entreprises multisite et organisations distribuées : il constitue le tissu réseau reliant sièges sociaux, agences, usines, datacenters et services cloud. Un accès root à SD-WAN Manager confère à l'attaquant la capacité de modifier le routage réseau, d'injecter du trafic malveillant, de réorienter des flux de données sensibles, d'activer ou désactiver des règles de sécurité sur les équipements edge, ou de provoquer une interruption massive de service par altération des configurations. Cette criticité opérationnelle explique l'urgence accordée à CVE-2026-20245 malgré un score CVSS de 7.8, qui ne reflète pas pleinement l'ampleur des dommages potentiels dans un contexte SD-WAN d'entreprise.

Au-delà de l'exécution de commandes root, les chercheurs de Google Mandiant ont observé dans les incidents analysés que les attaquants ont utilisé l'accès obtenu pour modifier des fichiers de configuration système de SD-WAN Manager lui-même, installer des outils de persistance et d'accès à distance, et pivoter vers d'autres segments réseau accessibles depuis l'appliance SD-WAN Manager. La présence de Google Mandiant comme équipe de découverte est notable : Mandiant est régulièrement impliqué dans la réponse à des incidents APT, suggérant que l'exploitation documentée pourrait être le fait d'acteurs étatiques ou para-étatiques sophistiqués. Aucune attribution publique n'a toutefois été faite à ce stade.

L'absence de correctif disponible au 20 juin 2026 implique que toutes les organisations déployant Cisco Catalyst SD-WAN Manager restent exposées sans possibilité de remédiation technique complète. Cisco a annoncé qu'une mise à jour logicielle sera disponible dans un prochain bulletin de sécurité, sans date précise communiquée publiquement. La surveillance du portail Cisco Security Advisories est impérative pour appliquer le correctif dès sa disponibilité — advisory référencé Cisco Security Advisory CVE-2026-20245.

Impact et exposition

CVE-2026-20245 affecte Cisco Catalyst SD-WAN Manager dans toutes ses formes de déploiement : installations on-premises, déploiements Cloud-Pro hébergés chez Cisco, environnements Cisco Managed Cloud et déploiements FedRAMP. Cette universalité d'exposition touche simultanément des organisations de toutes tailles, des PME industrielles aux grands groupes multinationaux, en passant par des administrations publiques opérant des infrastructures WAN distribuées.

La condition d'exploitation — accès netadmin — réduit théoriquement la surface exposée. Cependant, dans des contextes d'attaques ciblées (cyberespionnage industriel, ransomware ciblé, sabotage d'infrastructure), l'obtention préalable de credentials netadmin est une étape parfaitement réaliste via des campagnes de phishing spear-phishing ciblant les administrateurs réseau, des fuites de credentials ou des pivots depuis des systèmes d'authentification adjacents.

L'exploitation active avec modifications de configurations poussées vers des équipements edge constitue un indicateur de compromission (IoC) actionnable : toute modification de configuration non initiée par un administrateur légitime identifiable dans les journaux SD-WAN Manager est à traiter comme suspecte. Un audit exhaustif des 45 derniers jours de journaux de configuration est indispensable pour toute organisation utilisant Cisco Catalyst SD-WAN.

Recommandations immédiates

  • Surveiller en permanence le portail Cisco Security Advisories (référence Cisco Advisory CVE-2026-20245) et appliquer le correctif dès sa publication.
  • Restreindre immédiatement l'accès à l'interface CLI et à l'interface de gestion de SD-WAN Manager aux seules IP d'administration autorisées, via ACL réseau et règles firewall dédiées.
  • Activer l'authentification multi-facteurs (MFA) pour tous les comptes d'accès à SD-WAN Manager, en particulier les comptes netadmin.
  • Auditer tous les comptes netadmin et operator actifs, désactiver les comptes non utilisés, et forcer la rotation des mots de passe de tous les comptes d'administration SD-WAN.
  • Centraliser les journaux d'audit de SD-WAN Manager dans un SIEM et configurer des alertes sur les uploads de fichiers de configuration, les commandes CLI hors des plages horaires habituelles et les modifications de configuration des équipements edge.
  • Examiner l'historique des changements de configuration des 45 derniers jours (depuis le 1er mai 2026) pour détecter des modifications non autorisées sur les équipements edge.
  • Isoler le réseau d'administration de SD-WAN Manager dans un VLAN dédié avec accès restreint aux seuls administrateurs identifiés.

⚠️ Urgence

CVE-2026-20245 est un zero-day Cisco Catalyst SD-WAN Manager activement exploité sans correctif disponible au 20 juin 2026. Ajouté au catalogue CISA KEV le 9 juin 2026. Des modifications malveillantes de configuration d'équipements edge ont été observées dans des incidents réels par Google Mandiant. En l'absence de patch, la restriction des accès CLI netadmin, l'activation du MFA et la surveillance active des journaux constituent la seule ligne de défense disponible.

Comment savoir si je suis vulnérable ?

Toutes les versions de Cisco Catalyst SD-WAN Manager sont actuellement affectées selon l'advisory Cisco CVE-2026-20245 — aucune version n'est explicitement exclue. Pour détecter une exploitation potentielle, examinez les journaux d'audit de SD-WAN Manager à la recherche d'uploads de fichiers de configuration depuis des IP non habituelles ou d'exécutions de commandes CLI en dehors des plages horaires standards. Comparez les configurations actuelles de vos équipements edge à vos dernières configurations de référence validées pour identifier des modifications non autorisées.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit