Cisco SD-WAN CVE-2026-20245 : 7e zero-day 2026, root sans patch

Les faits

Le 5 juin 2026, Cisco a publié un advisory signalant l'exploitation active de CVE-2026-20245, une faille de validation insuffisante des entrées utilisateur dans l'interface de ligne de commande (CLI) de Cisco Catalyst SD-WAN Manager. Il s'agit du septième zero-day exploité en 2026 sur cette plateforme — un record sans précédent pour un produit réseau d'entreprise, qui illustre la pression considérable exercée par les attaquants sur les infrastructures SD-WAN.

Techniquement, CVE-2026-20245 permet à un attaquant authentifié disposant de privilèges netadmin d'exécuter des commandes arbitraires avec les droits root. Le vecteur d'exploitation est l'upload d'un fichier spécialement conçu via l'interface CLI : ce fichier déclenche l'exécution de commandes système dans le contexte du processus SD-WAN Manager, qui tourne avec les droits root. La faille résulte d'une validation insuffisante des données fournies par l'utilisateur lors du traitement du fichier uploadé.

Le prérequis — des droits netadmin — peut sembler limitant à première vue. En pratique, il est contournable via le chaînage avec des failles SD-WAN précédemment divulguées. Cisco avertit explicitement que les attaquants enchaînent CVE-2026-20245 avec CVE-2026-20182 (exploité par UAT-8616 depuis mars 2026, couvert sur ce site) ou CVE-2026-20127, qui permettent d'obtenir des accès privilégiés depuis une position non authentifiée. La chaîne d'exploitation complète est ainsi accessible à un attaquant distant en deux étapes.

Les incidents d'exploitation confirmés incluent des modifications de configuration poussées vers des équipements edge du réseau SD-WAN. C'est le scénario le plus préoccupant : un attaquant contrôlant le SD-WAN Manager obtient le contrôle quasi-total du plan de contrôle du réseau distribué. Il peut reconfigurer les règles de routage, intercepter le trafic en transit, insérer des routes malveillantes ou désactiver des fonctions de sécurité sur l'ensemble du parc edge — sur des centaines de sites distants simultanément, sans déclencher d'alerte immédiate dans les outils de monitoring classiques.

L'ensemble des types de déploiement Cisco Catalyst SD-WAN est concerné sans exception : on-premises, Cloud-Pro, Cisco Managed Cloud et FedRAMP. Les organisations ayant délégué la gestion de leur SD-WAN à Cisco (modèle Managed Cloud) doivent vérifier l'état de leur déploiement en contactant directement le support Cisco. Il ne s'agit pas d'une faille limitée aux déploiements autogérés.

Au moment de la divulgation le 5 juin 2026, Cisco n'avait ni patch ni workaround disponible. La société a conseillé aux clients d'effectuer la mise à niveau vers la version corrigée pour CVE-2026-20182 (disponible depuis le 14 mai 2026) comme étape intermédiaire, tout en précisant explicitement qu'aucun correctif spécifique à CVE-2026-20245 n'est encore disponible. Cisco n'a pas communiqué de calendrier pour le patch définitif.

La série de sept zero-days sur Cisco SD-WAN en 2026 suggère une analyse approfondie de la plateforme vManage par des équipes offensives structurées. Un SD-WAN Manager compromis, c'est potentiellement des dizaines ou centaines de sites distribués accessibles simultanément — un leverage extraordinaire qui justifie l'investissement en recherche de vulnérabilités de la part des groupes cybercriminels ou étatiques ciblant cette plateforme.

Selon les analyses de SOCPrime et de la Cloud Security Alliance, CVE-2026-20245 s'inscrit dans un pattern récurrent : les plateformes d'orchestration réseau centralisées (SD-WAN Manager, vManage) deviennent des cibles prioritaires car une seule compromission permet de pivoter vers l'ensemble du réseau distribué. La centralisation du plan de contrôle, avantage opérationnel du SD-WAN, se transforme en vecteur d'attaque systémique à très fort effet de levier.

En l'absence de patch, Cisco a publié des recommandations de durcissement qui réduisent la surface d'exposition sans supprimer la vulnérabilité. Ces mesures doivent être implémentées en urgence, en parallèle d'une veille active sur la publication d'un correctif définitif.

Impact et exposition

Toute organisation utilisant Cisco Catalyst SD-WAN Manager dans n'importe quelle configuration est potentiellement exposée. Le vrai risque réside dans la chaîne d'exploitation combinant CVE-2026-20182 ou CVE-2026-20127 avec CVE-2026-20245 : un attaquant distant et non authentifié peut, en deux étapes, obtenir un accès root sur le Manager et donc le contrôle complet du plan de contrôle du réseau SD-WAN. Les entreprises multisites utilisant SD-WAN pour interconnecter agences, entrepôts ou usines sont particulièrement exposées à un effet domino en cas de compromission.

Recommandations

• Mettre à niveau vers la version corrigée pour CVE-2026-20182 (disponible depuis le 14 mai 2026) en priorité absolue — seule atténuation partielle disponible.
• Restreindre l'accès CLI du SD-WAN Manager aux seules adresses IP de gestion autorisées via des ACL strictes en amont.
• Auditer l'ensemble des comptes netadmin : supprimer les comptes inutilisés, renouveler les mots de passe des comptes actifs, activer le MFA sur les accès d'administration.
• Activer la journalisation complète des sessions CLI et des uploads de fichiers, et mettre en place des alertes sur les opérations anormales.
• Vérifier l'intégrité des configurations de tous les équipements edge depuis le 5 juin 2026 pour détecter des modifications non autorisées.
• Ouvrir un ticket auprès du support Cisco pour suivre le calendrier de publication du patch CVE-2026-20245.