● CERT-FR Alertes 📅 25/02/2026 à 01:00

Objet: [MàJ] Vulnérabilité dans Cisco Catalyst SD-WAN

Cybersécurité
Illustration
Premier Ministre S.G.D.S.N Agence nationalede la sécurité dessystèmes d'information Paris, le 25 février 2026 N° CERTFR-2026-ALE-002 Affaire suivie par: CERT-FR Bulletin d'alerte du CERT-FR Objet: [MàJ] Vulnérabilité dans Cisco Catalyst SD-WAN Gestion du document Référence CERTFR-2026-ALE-002 Titre [MàJ] Vulnérabilité dans Cisco Catalyst SD-WAN Date de la première version25 février 2026 Date de la dernière version26 mars 2026 Source(s) Bulletin de sécurité Cisco du 25 février 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risque Contournement de la politique de sécurité Systèmes affectés Catalyst SD-WAN versions 20.12.5.x antérieures à 20.12.5.3 Catalyst SD-WAN versions 20.12.6.x antérieures à 20.12.6.1 Catalyst SD-WAN versions 20.15.x antérieures à 20.15.4.2 Catalyst SD-WAN versions 20.18.x antérieures à 20.18.2.1 Catalyst SD-WAN versions antérieures à 20.9.8.2 Cisco indique que la publication de la version corrective 20.9.8.2 pour Catalyst SD-WAN est prévue le 27 février 2026. Les versions 20.11.x, 20.13.x, 20.14.x et 20.16.x sont affectées par la vulnérabilité mais ne bénéficieront pas de correctifs de sécurité car elles ont atteint la fin de période de maintenance. Le CERT-FR recommande de migrer vers une version maintenue et avec les derniers correctifs de sécurité. L'éditeur précise aussi que la solution Cisco SD-WAN a été renommée Cisco Catalyst SD-WAN. L'avis éditeur indique également d'autres changements de noms pour les composants de cette solution. Résumé Une vulnérabilité a été découverte dans Cisco Catalyst SD-WAN. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité. Cisco indique que la vulnérabilité CVE-2026-20127 est activement exploitée. Recherche de compromission [Mise à jour du 26 février 2026] Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par Cisco dans son avis de sécurité et un billet de blogue [1] : Vérification de la légitimité des événements d'appairage des connexions de contrôle (control connection peering events) : Un exemple de journal est donné ci-dessous. Les valeurs associées à peer-system-ip et public-ip doivent correspondre à des valeurs attendues par rapport à l'architecture du système d'information et de la configuration SD-WAN. De plus le peer-type doit être cohérent avec l'équipement lié à l'adresse peer-system-ip. L'horodatage de l'événement doit être associé à des périodes de maintenance ou d'administration. Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanage peer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005 En complément, le CERT-FR conseille de corréler les informations présentes dans ces événements pour identifier des schémas de reconnaissance ou des tentatives d’accès persistantes. Par exemple en regroupant les activités par peer-type et peer-system-ip. Ces journaux peuvent être présents dans /var/log/tmplog/vdebug, /var/log/vsyslog, /var/log/jsyslog ou /var/log/messages. Vérification de l'ajout d'une clé d'authentification SSH pour vmanage-admin : Le compte vmanage-admin est un compte légitime utilisé par le système. Les attaquants sont susceptibles d'avoir ajouté une clé SSH pour ce compte et de l'utiliser pour se connecter à l'équipement. Il est nécessaire de valider que les événements d'authentification liée à l'utilisation d'une clé publique pour le compte vmanage-admin peuvent être reliés à une adresse IP connue et légitime. Ces événements sont notamment listés dans /var/log/auth.log. Un exemple de journal de ce type de connexion est présenté ci-dessous. 2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY] La présence de clés inconnues dans /home/vmanage-admin/.ssh/authorized_keys/ est également un indicateur de compromission. Détection de rétrogradation de la version du système : Les attaquants sont susceptibles d'avoir rétrogradé la version du système dans l'optique d'exploiter des vulnérabilités applicables à des versions antérieures, telle que la vulnérabilité CVE‑2022‑20775. La version système est par la suite restaurée. Les journaux suivants sont des indicateurs de rétrogradation : Waiting for upgrade confirmation from user. Device will revert to previous software version in '100' seconds unless confirmed. Software upgrade not confirmed. Reverting to previous software version La présence d'utilisateurs avec des noms anormaux et associés à des attaques de type traversée de chemin (path traversal) peut indiquer la tentative d'exploitation de la vulnérabilité CVE-2022-20775. /../../ et /\n&../\n&../ sont des exemples de ce type d'attaque. Détection de journaux tronqués, effacés ou absents : Les attaquants sont susceptibles d'avoir modifié les journaux pour rendre plus complexe la détection de leurs actions. La présence de journaux de taille anormalement faible (0, 1 ou 2 octets) est un indicateur de compromission. La modification et la suppression d'entrées dans les journaux suivants doivent aussi être vérifiées : syslog wtmp lastlog cli-history bash_history journaux présents dans /var/log/ Vérification des activités anormales de certains utilisateurs. Les éléments suivants doivent être étudiés : Création, utilisation et suppression de comptes utilisateurs malveillants, y compris l’absence de bash_history et de cli‑history ; Présence d’un fichier cli‑history pour un utilisateur sans le bash history correspondant ; Sessions root interactives sur des systèmes de production, avec des clés SSH non répertoriées, des known hosts et un historique bash. Par exemple : Clés SSH dans : /home/root/.ssh/authorized_keys avec PermitRootLogin réglé sur yes dans/etc/ssh/sshd_config Known hosts dans : /home/root/.ssh/known_hosts Notification: system-login-change severity-level:minor host-name:"" system-ip: user-name:""root"" Cisco recommande également de consulter le guide de recherche de compromission rédigé par l'Australian Cyber Security Centre [2] ainsi que le guide de durcissement de Catalyst SD-WAN [3]. En cas de suspicion de compromission consulter les fiches réflexes de compromission d'un équipement de bordure réseau [4][5] et signaler l’événement auprès du CERT-FR. Solutions [Publication Initiale] Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Cisco du 25 février 2026 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk [1] Billet de blogue de Cisco Talos du 25 février 2026 relatif à l'exploitation de vulnérabilités dans Catalyst SD-WAN https://blog.talosintelligence.com/uat-8616-sd-wan/ [2] Cisco SD-WAN Threat hunt guide, version 2.4 du 25 février 2026 https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf [3] Guide de durcissement de Catalyst SD-WAN https://sec.cloudapps.cisco.com/security/center/resources/Cisco-Catalyst-SD-WAN-HardeningGuide [4] Compromission d'un équipement de bordure réseau - Qualification https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/ [5] Compromission d'un équipement de bordure réseau - Endiguement https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/ Avis CERTFR-2026-AVI-0210 https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0210/ Référence CVE CVE-2022-20775 https://www.cve.org/CVERecord?id=CVE-2022-20775 Référence CVE CVE-2026-20127 https://www.cve.org/CVERecord?id=CVE-2026-20127 Gestion détaillée du document le 25 février 2026 Version initiale le 26 février 2026 Ajout de compléments liés à la recherche de compromission le 26 mars 2026 Clôture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.
← Retour