Sept zero-days en un an : l'infrastructure SD-WAN de Cisco dans la tourmente
Le 5 juin 2026, Cisco a divulgué CVE-2026-20245, une nouvelle vulnérabilité zero-day affectant Cisco Catalyst SD-WAN Manager — déjà exploitée dans la nature, sans correctif disponible. Il s'agit du septième zero-day activement exploité dans la suite SD-WAN de Cisco depuis le début de l'année. Un rythme qui interpelle.
Une faille d'escalade de privilèges sans filet
CVE-2026-20245 réside dans une validation insuffisante des entrées utilisateur au niveau de l'interface en ligne de commande (CLI) de Cisco Catalyst SD-WAN Manager. Un attaquant disposant de privilèges netadmin peut télécharger un fichier malveillant sur le système et exécuter des commandes arbitraires en tant que root — le niveau de contrôle le plus élevé sur un système Linux. Le score CVSS est de 7,8 sur 10.
La vulnérabilité concerne tous les modes de déploiement : installations on-premises, environnements Cloud-Pro, plateformes gérées par Cisco et déploiements gouvernementaux FedRAMP. Aucun segment de clientèle n'est épargné. Cisco a déjà confirmé des cas d'exploitation active, avec notamment des modifications de configuration poussées sur des équipements edge — preuve que les attaquants ne se contentent pas d'observer : ils manipulent activement le réseau.
Une attaque en deux temps, soigneusement orchestrée
Ce qui rend CVE-2026-20245 particulièrement préoccupant, c'est son inscription dans une chaîne d'exploitation. La faille requiert un accès authentifié avec des droits netadmin — un prérequis que les attaquants ont déjà démontré pouvoir satisfaire en enchaînant d'autres vulnérabilités SD-WAN.
CVE-2026-20182, divulguée en mai 2026 avec un score CVSS de 10 (le maximum), permettait à un attaquant non authentifié de contourner entièrement l'authentification pour obtenir des accès administratifs. Elle avait été exploitée par un groupe identifié sous le nom UAT-8616, que Cisco Talos décrit comme un acteur « hautement sophistiqué », suivi depuis au moins 2023. Ce groupe avait alors ajouté des clés SSH, modifié des configurations NETCONF et escaladé vers des privilèges root.
CVE-2026-20245, découverte par des chercheurs de Mandiant, s'inscrit dans cette continuité : obtenir un accès initial via une faille d'authentification, puis consolider le contrôle via l'escalade de privilèges. C'est la tactique caractéristique des acteurs avancés (APT) ciblant les infrastructures réseau critiques.
Zéro correctif, zéro contournement
La situation est d'autant plus inconfortable qu'aucun patch n'est disponible à ce stade. Cisco promet un correctif dans « une version future » sans préciser de calendrier, et aucune mesure de contournement n'est documentée.
Face à cette impasse, Cisco recommande aux équipes IT de :
- Vérifier les journaux des équipements SD-WAN Manager à la recherche d'activités suspectes ou de modifications de configuration non autorisées.
- Collecter les logs diagnostics via la commande
request admin-techavant toute mise à jour ou investigation approfondie. - Contacter le Cisco TAC (Technical Assistance Center) en cas de suspicion de compromission pour une analyse adaptée à l'environnement spécifique.
SD-WAN : une surface d'attaque stratégique
La multiplication de ces incidents révèle que les plateformes SD-WAN sont devenues des cibles de premier ordre pour les groupes d'attaquants avancés. Ces solutions concentrent en un seul point la gestion de l'ensemble du réseau étendu d'une organisation : qui y accède dispose d'une visibilité et d'un contrôle redoutables sur l'intégralité des flux.
Pour les DSI et RSSI, le message est sans ambiguïté : les équipements réseau ne sont plus une couche passive de l'infrastructure. Ils constituent une surface d'attaque active, ciblée par des acteurs disposant du temps, des ressources et des compétences pour enchaîner plusieurs vulnérabilités. Maintenir une veille étroite sur les avis de sécurité Cisco, durcir les configurations d'accès au plan de gestion et segmenter strictement les droits d'administration SD-WAN ne sont plus des bonnes pratiques optionnelles — ce sont des impératifs opérationnels.