Cisco a publié le 25 février un advisory critique (CVSS 10.0) portant sur CVE-2026-20127, une vulnérabilité de contournement d’authentification dans Cisco Catalyst SD-WAN Controller et SD-WAN Manager. La faille permet à un attaquant non authentifié, depuis internet, d’obtenir des privilèges administrateurs sur l’infrastructure SD-WAN et d’en manipuler la configuration réseau via NETCONF. Le CERT-FR confirme une exploitation active. Aucun contournement n’est disponible, la mise à jour vers une version corrigée est la seule mesure de remédiation.
Les infrastructures SD-WAN ont concentré une attention croissante de la part des acteurs malveillants depuis 2023, précisément parce qu’elles constituent le plan de contrôle centralisé de la connectivité multisite des grandes organisations. Compromettre un contrôleur SD-WAN, c’est accéder au cerveau du réseau WAN de l’entreprise, avec la capacité d’observer, de modifier ou d’interrompre l’ensemble des flux intersites sans déclencher d’alerte immédiate dans les outils de supervision classiques. L’Anssi et ses homologues européens ont documenté depuis 2024 une tendance structurelle à la compromission des équipements de bordure et des composants d’orchestration réseau — catégorie dans laquelle s’inscrit directement Cisco Catalyst SD-WAN — par des groupes APT cherchant à établir des accès persistants dans des infrastructures critiques.
CVE-2026-20127 est classée CWE-287 — défaut d’authentification. Le mécanisme de peering entre contrôleurs SD-WAN ne valide pas correctement l’identité des pairs lors de l’établissement de connexions. Un attaquant peut envoyer des requêtes forgées pour s’authentifier comme un compte interne haut-privilégié non-root — spécifiquement le compte vmanage-admin — sans posséder d’identifiants valides. Une fois ce compte obtenu, l’accès NETCONF est ouvert, ce qui permet de modifier la configuration de l’ensemble du tissu SD-WAN : politiques de routage, segmentation réseau, paramètres de sécurité des branches. Le score de gravité CVSS 3.1, 10,0, résulte de la combinaison de quatre facteurs maximaux : vecteur réseau, complexité nulle, aucun privilège requis, aucune interaction utilisateur nécessaire, avec un impact étendu sur la confidentialité, l’intégrité et la disponibilité.
Remédiation urgente sur les contrôleurs exposés à Internet
Les déploiements affectés couvrent quatre modèles : on-premises, Cisco Hosted SD-WAN Cloud, Cisco Hosted SD-WAN Cloud Cisco Managed, et l’environnement FedRAMP, ce dernier étant particulièrement important pour les organisations soumises à des référentiels de sécurité gouvernementaux. Les versions vulnérables s’étendent des releases antérieures à 20,9 jusqu’à 20,18, avec des correctifs disponibles à partir des versions 20.9.8.2 (publication estimée au 27 février 2026), 20.12.5.3, 20.12.6.1, 20.15.4.2 et 20.18.2.1. Les versions 20.11.x, 20.13.x, 20.14.x et 20.16.x sont vulnérables mais ne recevront pas de correctif, ces branches ayant atteint la fin de période de maintenance, ce qui impose une migration vers une version maintenue.
Le Cisco PSIRT confirme une exploitation limitée mais active de CVE-2026-20127 dans la nature. Cette confirmation, combinée au score CVSS maximal, place cette vulnérabilité dans la catégorie des failles nécessitant une réponse immédiate, sans attendre un cycle de patch planifié. La vulnérabilité a été signalée à Cisco par l’Australian Signals Directorate’s Australian Cyber Security Centre (ASD ACSC), ce qui indique une découverte par une entité gouvernementale de renseignement cyber — contexte qui renforce la probabilité d’une exploitation ciblée par des acteurs étatiques ou sponsorisés.
Pour les RSSI, le vecteur d’exploitation prioritaire est constitué par les contrôleurs SD-WAN exposés directement sur internet. Cisco précise que les systèmes exposant les ports 22 (SSH) et 830 (NETCONF) sur des réseaux non filtrés sont à risque immédiat. L’indicateur de compromission à surveiller en priorité est le fichier /var/log/auth.log : toute entrée Accepted publickey for vmanage-admin provenant d’une adresse IP non répertoriée dans les System IPs de la console SD-WAN Manager doit être traitée comme une compromission jusqu’à preuve du contraire. Cisco recommande d’ouvrir un ticket TAC avec la sortie de la commande request admin-tech pour chaque composant de contrôle, afin d’obtenir une analyse forensique assistée.
L’absence de contournement : isolation ou mise à jour d’urgence
Cisco est formel, il n’existe aucun contournement permettant de supprimer la vulnérabilité sans mise à jour. La seule mesure temporaire disponible consiste à restreindre l’accès aux ports 22 et 830 aux seules adresses IP connues et autorisées — via ACL, règles de groupes de sécurité ou pare-feu — pour les déploiements sur site. Pour les environnements Cisco Hosted SD-WAN Cloud et FedRAMP, Cisco indique que ces mesures de restriction sont déjà en place côté hébergeur, ce qui réduit la surface d’exposition immédiate pour ces déploiements — sans pour autant éliminer le risque si des connexions inter-contrôleurs non filtrées existent.
Cette situation place les DSI face à un choix binaire sans délai : soit isoler immédiatement les contrôleurs SD-WAN des réseaux non filtrés le temps de préparer la mise à jour, soit déployer en urgence les versions corrigées. La complexité de la décision est amplifiée par le fait que les contrôleurs SD-WAN sont des composants critiques du plan de contrôle réseau — une interruption lors de la mise à jour peut affecter la connectivité de l’ensemble des sites gérés. Cisco publie une matrice de compatibilité et un guide d’upgrade SD-WAN pour aider à planifier la séquence de mise à jour sans interruption de service.
Pour les organisations utilisant Cisco Catalyst SD-WAN comme infrastructure de connectivité multisite, contexte fréquent dans les groupes industriels, les réseaux de distribution ou les opérateurs de services essentiels, la compromission d’un contrôleur unique peut donc affecter la posture de sécurité de l’ensemble du réseau WAN. Le CERT-FR, dans son avis CERTFR-2026-AVI-0210, relève également cinq autres CVE associées publiées le même jour (CVE-2026-20122, 20 126, 20 128, 20 129, 20 133) couvrant des vecteurs complémentaires : élévation de privilèges, exécution de code arbitraire à distance et atteinte à la confidentialité. La présence simultanée de plusieurs vulnérabilités critiques dans la même solution souligne l’urgence d’une mise à jour globale plutôt que ciblée sur CVE-2026-20127 seule.
