CVE-2026-20182 : Cisco SD-WAN — bypass auth CVSS 10.0, CISA KEV

Les faits

Le 14 mai 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a inscrit CVE-2026-20182 à son catalogue des vulnérabilités exploitées connues (Known Exploited Vulnerabilities, KEV). Cette décision fait suite à la confirmation d'une exploitation active documentée dans la nature, attribuée au groupe de menace avancée UAT-8616, tracé par Cisco Talos depuis au moins 2023.

La vulnérabilité affecte deux composants critiques de l'infrastructure Cisco Catalyst SD-WAN : le Controller (anciennement vSmart) et le Manager (anciennement vManage). Son score CVSS est de 10.0 — le maximum absolu sur l'échelle commune de criticité — ce qui traduit une exploitabilité sans restriction depuis un réseau distant, sans authentification préalable, sans interaction utilisateur, avec un impact total sur la confidentialité, l'intégrité et la disponibilité des systèmes cibles.

Le mécanisme d'exploitation repose sur une défaillance dans la validation des certificats lors de l'établissement d'une session de peering SD-WAN. Un attaquant non-authentifié initie une connexion en se faisant passer pour un vHub légitime du réseau. Du fait d'une erreur de validation dans le code d'authentification du Controller cible, celui-ci omet la vérification cryptographique du certificat présenté et enregistre l'équipement attaquant comme pair de confiance. Cette manipulation logique aboutit immédiatement à l'attribution d'un compte interne à hauts privilèges à l'attaquant.

Une fois ce niveau d'accès établi, l'attaquant dispose d'un accès complet à l'interface NETCONF du Manager. NETCONF est le protocole de gestion réseau utilisé pour lire et écrire la configuration de l'ensemble du fabric SD-WAN. Concrètement, cela signifie : modification des politiques de routage, redirection de flux réseau, altération des configurations de chiffrement des tunnels IPSec, injection de routes non-autorisées, manipulation des politiques QoS, ou coupure sélective de la connectivité de branches entières — tout cela sans déclencher la moindre alerte dans une configuration de surveillance standard.

Cisco Talos attribue l'exploitation active au groupe UAT-8616, un acteur de menace sophistiqué dont l'activité contre les infrastructures Cisco SD-WAN est documentée depuis 2023. Les comportements post-exploitation observés incluent : l'ajout de clés SSH persistantes sur les contrôleurs compromis pour maintenir un accès durable, la modification discrète de configurations NETCONF pour créer des backdoors de routage, des tentatives d'escalade de privilèges vers root sur les appliances sous-jacentes, et le déploiement de web shells pour maintenir la persistance même après application d'un patch. UAT-8616 a démontré une patience opérationnelle caractéristique des groupes APT : maintenir l'accès discrètement et extraire des données de configuration réseau sur la durée.

L'aggravation majeure est la disponibilité publique d'un code d'exploitation de preuve de concept (PoC). Dès sa mise en circulation, des campagnes de scan massif ciblant les interfaces de management des déploiements SD-WAN ont été observées par plusieurs équipes de threat intelligence. Le délai entre la publication d'un PoC et le début des exploitations opportunistes se mesure aujourd'hui en heures, pas en jours.

L'advisory Cisco, référencé cisco-sa-sdwan-rpa2-v69WY2SW, détaille les versions affectées et les correctifs disponibles. Cisco a confirmé qu'aucune workaround complète n'existe en dehors de l'application du patch — les mesures d'atténuation (isolation réseau, filtrage ACL) réduisent l'exposition mais ne corrigent pas la vulnérabilité sous-jacente.

La CISA a fixé au 17 mai 2026 la date limite pour la remédiation obligatoire dans les agences fédérales américaines au titre de la directive BOD 22-01. Cette date est désormais dépassée. Pour les organisations du secteur privé, aucun cadre réglementaire n'impose de délai équivalent — mais le risque est identique, l'exploitation est documentée, et le PoC est public.

Impact et exposition

Tous les déploiements utilisant Cisco Catalyst SD-WAN Controller ou Manager — anciennement vSmart et vManage — sont potentiellement vulnérables si les versions concernées n'ont pas été patchées. L'exposition est maximale lorsque l'interface de management ou le port de peering est accessible depuis Internet ou depuis un segment réseau non-isolé. Les environnements MSP (Managed Service Providers) gérant plusieurs clients via un Manager partagé sont particulièrement critiques : une compromission unique donne accès à la configuration de tous les clients hébergés.

Les secteurs les plus exposés sont les télécommunications, les services financiers, la logistique et la distribution — tous des utilisateurs intensifs de SD-WAN multi-sites. Une compromission du plan de contrôle SD-WAN peut rester totalement invisible pendant des semaines si aucune surveillance des configurations NETCONF n'est en place.

Recommandations

• Appliquer immédiatement les correctifs publiés dans l'advisory Cisco cisco-sa-sdwan-rpa2-v69WY2SW — priorité maximale, sans délai ni exception
• Isoler les interfaces vManage et les ports de peering derrière un bastion dédié ou un VPN — bloquer tout accès direct depuis Internet et les segments non-maîtrisés
• Auditer immédiatement les logs NETCONF et les configurations actuelles pour détecter des modifications non-autorisées : routes, politiques, comptes administrateurs, clés SSH
• Vérifier l'intégrité des clés SSH autorisées sur tous les contrôleurs — supprimer toute entrée inconnue ou dont l'origine ne peut pas être confirmée
• Activer une surveillance continue des changements de configuration SD-WAN avec alerting immédiat sur toute modification non planifiée