Cisco vient de publier un correctif pour CVE-2026-20182, une faille notée 10 sur 10 dans Catalyst SD-WAN Controller et Manager. Un attaquant distant non authentifié obtient un compte administrateur interne sur les contrôleurs. CISA classe la faille dans son catalogue KEV et impose le patch sous trois jours aux agences fédérales.
Cisco a été prévenu de la nouvelle vulnérabilité en mars dernier par Stephen Fewer et Jonah Burgess, chercheurs chez Rapid7. Le constructeur a publié son bulletin de sécurité deux mois plus tard, le temps de confirmer une exploitation en conditions réelles.
Le service vdaemon, exposé sur le port UDP 12346, transporte tout le routage de l'overlay SD-WAN. Un attaquant envoie une requête forgée, devient pair authentifié du contrôleur, injecte une clé SSH dans le fichier authorized_keys du compte vmanage-admin, puis ouvre une session NETCONF sur le port TCP 830. Désormais, il modifie la configuration réseau de la fabric entière.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
UAT-8616 rétrograde la version logicielle pour passer root puis efface ses traces
Cisco Talos attribue les intrusions zero-day au groupe UAT-8616, déjà responsable de l'exploitation de CVE-2026-20127 depuis au moins 2023, une faille jumelle située dans le même vdaemon.
UAT-8616 commence par s'emparer du compte vmanage-admin, un compte interne non-root par conception. Ce niveau de privilèges suffit déjà à atteindre NETCONF, donc à réécrire la configuration du fabric. Pour la précédente faille CVE-2026-20127, les attaquants rétrogradent en supplément le logiciel vers une version vulnérable à CVE-2022-20775, exploitent cette vieille faille de privilèges, obtiennent root, puis réinstallent la version d'origine. Le journal d'audit standard ne conserve aucune trace du downgrade.
Sur CVE-2026-20182, on constate des actions post-compromission similaires, dont l'injection de clés SSH, la modification de configurations NETCONF et des tentatives d'élévation vers root. Les attaquants effacent ensuite les fichiers syslog, wtmp, lastlog, bash_history et cli-history, et activent PermitRootLogin dans la configuration SSH.
UAT-8616 utilise une infrastructure qui recoupe celle de réseaux ORB, ces relais opérationnels associés à des opérations étatiques. Pour Talos, ce groupe est hautement sophistiqué et identifie un ciblage répété des secteurs d'infrastructures critiques.
L'agence américaine CISA impose 72 heures pour patcher, Rapid7 sort un module Metasploit le jour même
La CISA a inscrit CVE-2026-20182 dans son catalogue KEV, avec une échéance fixée au 17 mai 2026 pour les agences fédérales civiles. Trois jours ouvrés pour identifier les contrôleurs vulnérables, prévoir une fenêtre de maintenance, sauvegarder le fichier admin-tech, puis migrer vers une version corrigée. Cisco ne propose aucun palliatif. Les administrateurs doivent donc migrer vers une branche corrigée. Cisco a livré le correctif dans les versions 20.9.9.1, 20.12.7.1, 20.15.5.2, 20.18.2.2 et 26.1.1.1. Le constructeur a également déployé la version 20.15.506 sur ses propres déploiements cloud, sans intervention client.
Rapid7 a publié le jour même un module Metasploit, cisco_sdwan_vhub_auth_bypass. Le module crée une paire de clés RSA, contourne l'authentification vdaemon, écrit la clé publique dans le fichier authorized_keys du compte vmanage-admin, puis rend la main à l'opérateur. Stephen Fewer en démontre l'usage contre une version 20.12.6.1, dernière mineure disponible de cette branche au moment de la recherche. Tout groupe opportuniste dispose désormais d'un outil prêt à l'emploi. Talos a recensé dix autres clusters, distincts d'UAT-8616, qui exploitent depuis mars la chaîne CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122, après publication par ZeroZenX Labs d'un proof-of-concept sur une autre faille.
Pour vérifier une compromission, Cisco recommande d'examiner /var/log/auth.log à la recherche d'entrées « Accepted publickey for vmanage-admin » depuis des IP inconnues. Les administrateurs doivent aussi inspecter la sortie des commandes show control connections detail ou show control connections-history detail. Une session au statut state:up avec un compteur challenge-ack à zéro signale un pair non authentifié. Désormais, chaque pair listé dans la fabric doit être recoupé manuellement avec l'inventaire des IP autorisées et les fenêtres de maintenance documentées.
Jonah Burgess, chercheur senior chez Rapid7, rappelle qu'un seul contrôleur compromis fait basculer l'overlay entier. Les architectures SD-WAN concurrentes reposent sur la même centralisation. Mais selon Rapid7 et Cisco, aucun contrôleur interne au réseau d'entreprise n'a de raison technique d'exposer le port UDP 12346 à l'Internet public.
En attendant, et pour écarter tout soupçon et risque, si vous êtes DSI, à vos commandes.
Source : Bleeping Computer
