CVE-2026-20127 : faille CVSS 10.0 dans Cisco SD-WAN exploitée par le groupe APT UAT-8616 depuis 2023. Contournement d'authentification permettant un accès administrateur complet.
En bref
- CVE-2026-20127 : contournement d'authentification sur Cisco Catalyst SD-WAN Controller et Manager — CVSS 10.0
- Exploité par le groupe APT UAT-8616 depuis au moins 2023, découvert en février 2026
- Appliquer le correctif Cisco en urgence et auditer les infrastructures SD-WAN exposées
Les faits
Cisco Talos a révélé fin février 2026 qu'une vulnérabilité critique dans le Catalyst SD-WAN Controller (anciennement vSmart) et le Catalyst SD-WAN Manager (anciennement vManage) était activement exploitée depuis au moins 2023 — soit près de trois ans avant sa découverte publique. La CVE-2026-20127, notée CVSS 10.0 (score maximal), permet à un attaquant distant non authentifié de contourner l'authentification et d'obtenir des privilèges administrateur en envoyant une requête spécialement forgée.
Le groupe de menace identifié par Talos sous le nom UAT-8616 est qualifié d'acteur « hautement sophistiqué ». Après exploitation de la faille, les attaquants utilisaient le mécanisme de mise à jour intégré pour déclencher un downgrade logiciel, puis escaladaient leurs privilèges vers root en exploitant la CVE-2022-20775, une ancienne faille d'escalade de privilèges dans le CLI de Cisco SD-WAN. Le CISA a ajouté la CVE-2026-20127 à son catalogue KEV avec un délai de remédiation de 24 heures pour les agences fédérales américaines, soulignant la gravité exceptionnelle de la situation.
Impact et exposition
Toute organisation utilisant Cisco Catalyst SD-WAN Controller ou Manager avec une interface de gestion exposée sur Internet est vulnérable. Le score CVSS maximal de 10.0 reflète la combinaison d'un vecteur réseau, d'une complexité d'attaque faible et d'un impact total sur la confidentialité, l'intégrité et la disponibilité. Le fait que l'exploitation ait perduré pendant trois ans sans détection soulève des questions majeures sur la visibilité réelle des organisations sur leur infrastructure réseau. Les secteurs télécoms, énergie et services managés, grands utilisateurs de SD-WAN, sont particulièrement concernés.
Recommandations
- Appliquer immédiatement le correctif Cisco pour le Catalyst SD-WAN Controller et Manager — aucun contournement temporaire n'est disponible
- Vérifier que les interfaces de gestion SD-WAN ne sont pas exposées directement sur Internet — restreindre l'accès aux réseaux d'administration uniquement
- Auditer les logs de connexion et les modifications de configuration SD-WAN depuis 2023 pour détecter d'éventuels compromissions passées
- Rechercher les indicateurs de compromission publiés par Cisco Talos concernant UAT-8616, notamment les downgrades logiciels non planifiés
Alerte critique
Avec un CVSS de 10.0, une exploitation confirmée depuis trois ans et un PoC public disponible, cette vulnérabilité représente un risque maximal. Le CISA impose un délai de remédiation de 24 heures aux agences fédérales. Toute infrastructure SD-WAN Cisco exposée doit être considérée comme potentiellement compromise et faire l'objet d'une investigation forensique.
Comment détecter si mon infrastructure SD-WAN a été compromise par UAT-8616 ?
Recherchez dans vos logs les downgrades logiciels non planifiés sur vos contrôleurs SD-WAN, les connexions administratives depuis des adresses IP inhabituelles, et les modifications de configuration non documentées. Cisco Talos a publié des indicateurs de compromission spécifiques incluant des adresses IP, des hashs de fichiers et des patterns de commandes. Si un downgrade vers une version antérieure est détecté, considérez l'équipement comme compromis et lancez une investigation complète.
Pourquoi cette faille est-elle restée invisible pendant trois ans ?
Le mécanisme de peering authentication défaillant permettait un accès qui se confondait avec le trafic légitime de gestion SD-WAN. L'acteur UAT-8616, décrit comme hautement sophistiqué, a opéré de manière discrète en utilisant des fonctionnalités natives du produit (mécanisme de mise à jour) plutôt que des outils offensifs détectables. Ce cas illustre la difficulté de surveiller les plans de contrôle réseau, souvent considérés comme « de confiance » par les équipes de sécurité.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
VMware Aria Operations : RCE critique exploitée activement
CVE-2026-22719 : injection de commandes critique dans VMware Aria Operations exploitée activement. CISA KEV, trois failles chaînables corrigées par Broadcom.
Citrix NetScaler : faille critique CVSS 9.3 exploitée activement
La CVE-2026-3055 permet une fuite mémoire critique sur Citrix NetScaler ADC et Gateway configurés en SAML IDP. Exploitation active confirmée, module Metasploit disponible.
Databricks lance Lakewatch, un SIEM dopé à l'IA générative
Databricks lance Lakewatch, un SIEM alimenté par des agents IA Claude d'Anthropic, après l'acquisition d'Antimatter et SiftD.ai.
Commentaires (1)
Laisser un commentaire