Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilités critiques dans Cisco Catalyst SD-WAN

Score CVSS :
10
Date de publication :
26/2/2026
Date de dernière mise à jour :
26/2/2026
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• De nombreuses versions de Cisco Catalyst SD-WAN sont impactées, le détail des différentes versions vulnérables sont disponible via les liens en référence

Prérequis

• Accès à l’interface d’administration Cisco Catalyst SD-WAN

Risques

• Exécution de code arbitraire

• Accès au réseau interne de l’entreprise

• Exploitation d’informations d’identifications

• Exfiltration de données sensibles

Résumé

Une vulnérabilité critique de type “Contournement d’authentification” affectant les solutions Cisco SD-WAN a récemment été publiée par l’éditeur Cisco le 25 Février 2026.

Le niveau de criticité initial de cette vulnérabilité est de 10 (score CVSSv3.1).

- CVE-2026-20127 et CVE-2026-20129 :  Une vulnérabilité dans Cisco Catalyst SD-WAN Controller, permet à un attaquant distant non authentifié de contourner l'authentification et d'obtenir des privilèges administrateurs sur le système affecté en envoyant une requête spécialement conçue à ce dernier.

Une fois la vulnérabilité exploitée, l’attaquant aura ainsi accès à l’équipement. Il pourra donc interagir avec celui-ci.

L’exploitation de cette CVE pourrait permettre à l’attaquant à minima une compromission complète du système (exécution de commande) , la perte du contrôle réseau (désactivation des politiques de sécurités, mouvement latéral), des modifications des règles d’accès VPN, de l’exfiltration de données sensibles et la désactivation des protections de sécurité (journaux d’audit, ajout de règles de redirection malveillantes….).

A l’heure actuelle, des traces d’exploitation par des groupes d’attaquants ont été observées depuis 2023.Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute machine exposée sur Internet.

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, vous pouvez:

• Auditer le fichier auth.log, situé à /var/log/auth.log

• Vérifier la présence de clé publique acceptée pour vmanage-admin provenant d’adresses IP inconnues ou non autorisées.

Des informations complémentaires sont disponibles dans les liens en référence.

Remédiation :

Mettre à jour SD-WAN Cisco Catalyst vers les versions les plus récentes prise en charges par l’éditeur.

Le détail est disponible dans les liens en références.

Mitigation :

• Désactiver l’interface d’administration.

• Restreindre l’accès à l’interface web de la solution.

Références

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v

https://blog.talosintelligence.com/uat-8616-sd-wan/

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité