CyberVeille.ch2d ago
📱 Cisco SD-WAN Manager : Ă©lĂ©vation de privilĂšges root via injection de commande, sans correctif disponible
📝 📰 **Source** : SecurityAffairs — **Date...
📖 cyberveille : https://cyberveille.ch/posts/2026-06-13-cisco-sd-wan-manager-elevation-de-privileges-root-via-injection-de-commande-sans-correctif-disponible/
🌐 source : https://securityaffairs.com/193203/security/cisco-sd-wan-has-a-new-root-level-problem-and-theres-no-fix-yet.html
#CVE_2022_20775 #CVE_2026_20127 #Cyberveille
Cisco SD-WAN Manager : élévation de privilÚges root via injection de commande, sans correctif disponible

📰 Source : SecurityAffairs — Date de publication : 5 juin 2026 Cisco publie une alerte concernant CVE-2026-20245 (score CVSS 7.8), une vulnĂ©rabilitĂ© d’élĂ©vation de privilĂšges affectant Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage). La faille permet Ă  un attaquant local authentifiĂ© d’exĂ©cuter des commandes arbitraires en tant que root via une injection de commande par upload de fichier. 🔍 MĂ©canisme d’exploitation : La vulnĂ©rabilitĂ© est due Ă  une validation insuffisante des entrĂ©es utilisateur L’attaquant doit disposer de privilĂšges netadmin sur le systĂšme cible Ces privilĂšges peuvent ĂȘtre obtenus via des identifiants volĂ©s ou en chaĂźnant l’exploitation de CVE-2026-20182 ou CVE-2026-20127 L’exploitation peut entraĂźner des modifications de configuration poussĂ©es vers les Ă©quipements edge 🌐 PĂ©rimĂštre affectĂ© :

CyberVeille
CyberVeille.chMay 19

📱 Cisco SD-WAN : vulnĂ©rabilitĂ© critique CVE-2026-20182 exploitĂ©e en zero-day, patch d'urgence requis
📝 ## đŸ—“ïž Contexte

Source : The Register — PubliĂ© le 15 mai 2026...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-19-cisco-sd-wan-vulnerabilite-critique-cve-2026-20182-exploitee-en-zero-day-patch-d-urgence-requis/
🌐 source : https://www.theregister.com/patches/2026/05/15/cisco-discloses-yet-another-sd-wan-make-me-admin-0-day/5241071
#CISA_KEV #CVE_2026_20127 #Cyberveille

Cisco SD-WAN : vulnérabilité critique CVE-2026-20182 exploitée en zero-day, patch d'urgence requis

đŸ—“ïž Contexte Source : The Register — PubliĂ© le 15 mai 2026. Cisco a publiĂ© un avis de sĂ©curitĂ© d’urgence concernant une vulnĂ©rabilitĂ© de sĂ©vĂ©ritĂ© maximale affectant ses produits Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage). 🔮 VulnĂ©rabilitĂ© CVE-2026-20182 — Score CVSS : 10.0 (critique) Affecte tous les types de dĂ©ploiement des deux composants Cause : mĂ©canisme d’authentification par peering dĂ©faillant Permet Ă  un attaquant non authentifiĂ© Ă  distance de contourner l’authentification et d’obtenir des privilĂšges administrateur sur le systĂšme affectĂ© Une fois authentifiĂ©, l’attaquant peut Ă©mettre des commandes NETCONF arbitraires, permettant : vol de donnĂ©es, interception de trafic, manipulation des rĂšgles de pare-feu, mise hors service du rĂ©seau đŸ•”ïž DĂ©couverte et exploitation VulnĂ©rabilitĂ© dĂ©couverte par Stephen Fewer et Jonah Burgess de Rapid7, signalĂ©e dĂ©but mars 2026 Cisco a confirmĂ© en mai 2026 que CVE-2026-20182 avait Ă©tĂ© exploitĂ©e en zero-day Aucune attribution de l’activitĂ© d’exploitation n’a Ă©tĂ© communiquĂ©e Aucune exploitation dans le cadre d’attaques ransomware n’a Ă©tĂ© signalĂ©e La dĂ©couverte fait suite Ă  l’investigation d’un prĂ©cĂ©dent zero-day : CVE-2026-20127 (CVSS 10.0, fĂ©vrier 2026), Ă©galement un contournement d’authentification dans Cisco Catalyst SD-WAN Controller đŸ›ïž RĂ©ponse institutionnelle La CISA a ajoutĂ© CVE-2026-20182 Ă  son catalogue Known Exploited Vulnerabilities (KEV) Les agences fĂ©dĂ©rales civiles (FCEB) ont 3 jours pour appliquer les correctifs — dĂ©lai exceptionnellement court Cisco indique qu’aucun contournement (workaround) n’est disponible et recommande fortement l’application des correctifs 🔍 Indicateurs de compromission Cisco recommande d’auditer le fichier /var/log/auth.log pour dĂ©tecter des entrĂ©es du type :

CyberVeille
CyberVeille.chApr 22

📱 Des surges d'activitĂ© rĂ©seau prĂ©cĂšdent les divulgations CVE jusqu'Ă  39 jours Ă  l'avance
📝 ## 🔍 Contexte

Publié le 20 avril 2026 par GreyNoise Intelligence, cet article présente les résultats d'une...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-22-des-surges-d-activite-reseau-precedent-les-divulgations-cve-jusqu-a-39-jours-a-l-avance/
🌐 source : https://www.greynoise.io/blog/the-internet-changes-before-the-advisory-drops
#CVE_2026_0400 #CVE_2026_20127 #Cyberveille

Des surges d'activité réseau précÚdent les divulgations CVE jusqu'à 39 jours à l'avance

🔍 Contexte PubliĂ© le 20 avril 2026 par GreyNoise Intelligence, cet article prĂ©sente les rĂ©sultats d’une Ă©tude empirique sur la corrĂ©lation entre les surges d’activitĂ© rĂ©seau observĂ©es par leurs capteurs et les divulgations ultĂ©rieures de vulnĂ©rabilitĂ©s CVE. 📊 MĂ©thodologie et donnĂ©es Sur une pĂ©riode de 103 jours, GreyNoise a analysĂ© 147,8 millions de sessions rĂ©parties sur 276 tags spĂ©cifiques Ă  des vendeurs, couvrant 18 fabricants d’équipements rĂ©seau. Parmi 104 Ă©vĂ©nements de surge dĂ©tectĂ©s, 68 ont prĂ©cĂ©dĂ© une CVE correspondant au vendeur ciblĂ©, couvrant 33 vulnĂ©rabilitĂ©s sur 16 familles de vendeurs. La validation statistique confirme que ce pattern n’est pas le fruit du hasard.

CyberVeille
The Threat CodexFeb 26
Active exploitation of Cisco Catalyst SD-WAN by UAT-8616
#CVE_2026_20127 #UAT_8616
https://blog.talosintelligence.com/uat-8616-sd-wan/
Active exploitation of Cisco Catalyst SD-WAN by UAT-8616

Cisco Talos is tracking the active exploitation of CVE-2026-20127, a vulnerability in Cisco Catalyst SD-WAN Controller, formerly vSmart, that allows an unauthenticated remote attacker to bypass authentication and obtain administrative privileges.

Cisco Talos Blog
CyberVeille.chFeb 26
📱 Exploitation active de CVE-2026-20127 dans Cisco Catalyst SD‑WAN par l’acteur UAT‑8616
📝 Contexte: Cisco Talos signale une exploitation active visant Cisco Catalyst SD‑WAN Controller (ex‑vSmart), dĂ©taillant la vulnĂ©ra...
📖 cyberveille : https://cyberveille.ch/posts/2026-02-26-exploitation-active-de-cve-2026-20127-dans-cisco-catalyst-sd-wan-par-lacteur-uat-8616/
🌐 source : https://blog.talosintelligence.com/uat-8616-sd-wan/
#CVE_2026_20127 #Cisco_Catalyst_SD_WAN #Cyberveille
Exploitation active de CVE-2026-20127 dans Cisco Catalyst SD‑WAN par l’acteur UAT‑8616

Contexte: Cisco Talos signale une exploitation active visant Cisco Catalyst SD‑WAN Controller (ex‑vSmart), dĂ©taillant la vulnĂ©rabilitĂ© CVE-2026-20127, les modes opĂ©ratoires de l’acteur « UAT‑8616 » et des pistes de dĂ©tection et de chasse. ‱ VulnĂ©rabilitĂ© et impact. Une faille d’authentification (CVE-2026-20127) permet Ă  un attaquant distant non authentifiĂ© de contourner l’authentification et d’obtenir des privilĂšges administratifs sur le contrĂŽleur, comme compte interne Ă  hauts privilĂšges (non‑root). Talos observe une exploitation active et remonte des traces d’activitĂ© depuis au moins 2023. L’acteur, UAT‑8616 (Ă©valuĂ© hautement sophistiquĂ©), a ensuite escaladĂ© vers root via un downgrade logiciel, a exploitĂ© CVE-2022-20775, puis a restaurĂ© la version d’origine, obtenant l’accĂšs root. Cette campagne s’inscrit dans la cible rĂ©currente des Ă©quipements de bordure rĂ©seau des organisations Ă  forte valeur, y compris les infrastructures critiques.

CyberVeille
 decioFeb 26

Si vous administrez une infrastructure rĂ©seau utilisant Cisco Catalyst SD-WAN, une vulnĂ©rabilitĂ© critique actuellement exploitĂ©e sur Internet permet Ă  un attaquant distant sans authentification d’obtenir un accĂšs administrateur au systĂšme. Une exploitation rĂ©ussie peut permettre de modifier la configuration rĂ©seau, d’espionner les communications ou de maintenir un accĂšs discret Ă  l’infrastructure.

Les investigations effectuĂ©es par Cisco Talos montrent que ces attaques sont menĂ©es par un acteur sophistiquĂ© et que des compromissions ont Ă©tĂ© observĂ©es depuis au moins 2023, avec dans certains cas une Ă©lĂ©vation de privilĂšges jusqu’au contrĂŽle complet du systĂšme aprĂšs modification de la version logicielle.

Selon Cisco, un systĂšme SD-WAN peut ĂȘtre particuliĂšrement exposĂ© si :

  • le contrĂŽleur SD-WAN est accessible depuis Internet

  • des ports sont ouverts vers l’extĂ©rieur

  • l’accĂšs n’est pas limitĂ© aux adresses IP autorisĂ©es

Les Ă©lĂ©ments suivants peuvent indiquer qu’un systĂšme SD-WAN a Ă©tĂ© compromis :

  • une nouvelle connexion SD-WAN inconnue

  • un accĂšs administrateur inattendu

  • des journaux systĂšme effacĂ©s ou incomplets

  • des mises Ă  jour ou rĂ©trogradations non planifiĂ©es

Cisco recommande de vérifier certains journaux systÚme pour détecter une compromission éventuelle.

Par exemple, dans le fichier /var/log/auth.log, une connexion SSH au compte vmanage-admin depuis une adresse IP inconnue peut ĂȘtre suspecte :

Accepted publickey for vmanage-admin from -adresse IP inconnue-

Dans ce cas, il faut vĂ©rifier que l’adresse IP correspond bien Ă  un Ă©quipement SD-WAN autorisĂ© (visible dans l’interface SD-WAN Manager → Devices → System IP).

PRODUITS CONCERNÉS

Cette vulnérabilité affecte :

  • Cisco Catalyst SD-WAN Controller

  • Cisco Catalyst SD-WAN Manager

Quel que soit le mode de déploiement :

  • DĂ©ploiement sur site (On-Premise)

  • Cisco Hosted SD-WAN Cloud

  • Cisco Hosted SD-WAN Cloud – Cisco Managed

  • Cisco Hosted SD-WAN Cloud – Environnement FedRAMP

ACTIONS RECOMMANDÉES

  • Application des mises Ă  jour recommandĂ©e dĂšs que possible

  • Surveillance des connexions et changements inhabituels recommandĂ©e

  • Restreindre l’accĂšs rĂ©seau aux seuls Ă©quipements autorisĂ©s

  • Conserver les journaux sur un serveur externe si possible

  • Placer les contrĂŽleurs derriĂšre un firewall

đŸ©č
👇
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

analyse Cisco Talos
👇
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

Détails Vulnérabilité critique CVE-2026-20127
👇
https://cve.circl.lu/vuln/CVE-2026-20127

Investigation conducted by intelligence partners identified that the actor likely escalated to root user via a software version downgrade

👇
https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf

#CyberVeille #cve_2026_20127 #Cisco #vuln

Cisco Security Advisory: Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability

A vulnerability in the peering authentication in Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, and Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an unauthenticated, remote attacker to bypass authentication and obtain administrative privileges on an affected system. This vulnerability exists because the peering authentication mechanism in an affected system is not working properly. An attacker could exploit this vulnerability by sending crafted requests to an affected system. A successful exploit could allow the attacker to log in to an affected Cisco Catalyst SD-WAN Controller as an internal, high-privileged, non-root user account. Using this account, the attacker could access NETCONF, which would then allow the attacker to manipulate network configuration for the SD-WAN fabric.  Cisco has released software updates that address this vulnerability. There are no workarounds that address this vulnerability.  This advisory is available at the following link:https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

Cisco