CVE-2026-7473 : Arista EOS CISA KEV, aucun patch prévu

Les faits

Le 9 juin 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté CVE-2026-7473 à son catalogue Known Exploited Vulnerabilities (KEV), confirmant que cette faille affectant Arista Extensible Operating System (EOS) est activement exploitée dans la nature. Cette inscription au KEV intervient alors qu'Arista Networks a officiellement annoncé qu'aucun patch ne sera développé pour corriger cette vulnérabilité — une position rare et préoccupante pour une faille sous exploitation active intégrée au catalogue des vulnérabilités les plus dangereuses recensées par la CISA.

La vulnérabilité est classifiée CWE-1023 (Incomplete Comparison with Missing Factors). Elle affecte les plateformes Arista EOS sur lesquelles une configuration de décapsulation tunnel est présente : VXLAN (Virtual Extensible LAN), decap-groups, ou interfaces tunnel GRE (Generic Routing Encapsulation). Sur ces équipements, le switch procède incorrectement à la décapsulation et au transfert de trafic tunnel inattendu dont l'adresse IP de destination correspond à une IP de décapsulation configurée, sans vérifier que le type de protocole tunnel encapsulé correspond bien à celui attendu dans la configuration.

En pratique, ce comportement erroné permet à un attaquant d'injecter des paquets tunnelisés dans un protocole différent de celui configuré. Par exemple, envoyer des paquets GRE vers un équipement configuré uniquement pour VXLAN provoque une décapsulation et un forwarding non désirés. Ce mécanisme permet de contourner les contrôles de segmentation réseau mis en place sur l'équipement, d'injecter du trafic malveillant dans des segments réseau supposément isolés, et d'atteindre des hôtes internes normalement protégés par la politique de segmentation en vigueur.

D'un point de vue technique, le vecteur CVSS v3.1 de CVE-2026-7473 est évalué à 6.9 selon la nomenclature officielle, avec un attack vector Adjacent Network (AV:A), une complexité Low (AC:L), des privilèges None (PR:N), aucune interaction utilisateur (UI:N), et des impacts principalement sur l'intégrité et la confidentialité des données en transit. Le score CVSS apparent peut sembler modéré par rapport à d'autres vulnérabilités récentes, mais l'inscription au catalogue CISA KEV avec exploitation active confirmée place cette faille dans une catégorie de risque opérationnel immédiat bien supérieur à sa note brute.

L'Arista Security Advisory 0137, publié initialement le 5 mai 2026, identifie les séries matérielles affectées : 7020R, 7280R/R2 et 7500R/R2. Ces plateformes sont couramment déployées dans les réseaux de cœur de datacenter et les environnements d'opérateurs télécom, où la segmentation VXLAN est une composante critique de l'isolation des tenants et du forwarding haute performance. La raison officiellement avancée par Arista pour l'absence de patch est le risque de rupture de configurations existantes sur des déploiements en production : un correctif modifiant le comportement de décapsulation pourrait casser des architectures réseau légitimes.

Cette décision d'Arista — ne pas patcher une vulnérabilité sous exploitation active — soulève des questions importantes sur la gestion du cycle de vie des équipements réseau critiques et la responsabilité des éditeurs face aux obligations de sécurité de leurs clients. Les agences gouvernementales américaines soumises à la BOD 22-01 (Binding Operational Directive) disposaient de deux semaines à compter du 9 juin 2026 — soit jusqu'au 23 juin 2026 — pour remédier à cette vulnérabilité via les mesures de mitigation publiées par Arista.

Les techniques d'exploitation observées dans la nature ne sont pas encore publiquement documentées en détail technique, mais la CISA a confirmé l'exploitation active sans préciser les acteurs de la menace impliqués. D'après SecurityWeek et The Hacker News, les plateformes 7280R/R2 et 7500R/R2 sont particulièrement ciblées en raison de leur déploiement dans des environnements d'opérateurs de haut débit et de datacenters hyperscale. Compte tenu du profil des cibles, les attaquants ciblant cette vulnérabilité sont vraisemblablement des groupes APT ou des acteurs ransomware à la recherche d'accès initiaux persistants.

Depuis la publication de l'advisory Arista le 5 mai 2026 jusqu'à l'inscription au catalogue CISA KEV le 9 juin 2026, une fenêtre d'exploitation d'un mois s'est écoulée sans patch disponible. Les organisations exploitant les plateformes 7020R, 7280R/R2 et 7500R/R2 sans avoir appliqué les mitigations ACL décrites dans l'Arista SA-0137 sont à considérer comme activement exposées à une exploitation en cours selon la CISA.

Impact et exposition

Les environnements les plus exposés sont les datacenters d'entreprise et les infrastructures cloud privées utilisant VXLAN pour la microsegmentation des tenants. Sur ces plateformes, une exploitation réussie permet à un attaquant positionné sur le réseau adjacent de franchir les barrières de segmentation et d'atteindre des réseaux normalement inaccessibles. Dans un datacenter multi-tenant, cela peut signifier la compromission de l'isolation entre clients hébergés sur la même infrastructure physique Arista.

Les réseaux opérateurs et les FAI utilisant les plateformes Arista 7280R/R2 ou 7500R/R2 pour le transport de trafic backbone sont également exposés si des configurations VXLAN ou GRE sont actives. Les attaques de type traffic injection sur ces équipements peuvent conduire à des écoutes de trafic (man-in-the-middle), des redirections de flux réseau, ou l'injection de contenus malveillants dans des sessions réseau légitimes traversant l'équipement vulnérable.

La condition d'exploitation requiert une adjacence réseau avec un équipement vulnérable ou la capacité d'envoyer des paquets spécialement forgés vers les IPs de décapsulation configurées. Cette condition est facilement remplie dans de nombreux scénarios : insider threat, rebond depuis un équipement compromis dans le réseau, ou accès à un segment réseau non totalement segmenté. L'absence de patch rend cette vulnérabilité persistante sans action proactive des équipes réseau.

Recommandations immédiates

• Appliquer les ACL de mitigation décrites dans l'Arista Security Advisory 0137 — deux approches : ACL sur les équipements upstream ou ACL directement sur les équipements vulnérables au niveau des interfaces de décapsulation
• Identifier immédiatement tous les équipements Arista 7020R, 7280R/R2, 7500R/R2 dans l'inventaire réseau et vérifier si des configurations VXLAN, decap-groups ou GRE sont actives
• Surveiller le trafic entrant sur les interfaces de décapsulation pour détecter des types de protocoles non attendus
• Les agences fédérales américaines BOD 22-01 : délai de remédiation CISA avant le 23 juin 2026
• Envisager la migration vers des équipements Arista non affectés si le remplacement des séries 7020R/7280R/7500R est planifié à moyen terme dans la roadmap infrastructure
• Ouvrir un ticket Arista TAC pour obtenir les templates ACL validés pour votre configuration spécifique