🔍 Contexte

Publié le 14 mai 2026 par l’équipe Research Special Operations (RSO) de Tenable, cet article de type FAQ documente l’exploitation active et continue de cinq vulnérabilités critiques dans Cisco Catalyst SD-WAN Controller et Manager, ainsi qu’une sixième vulnérabilité plus ancienne utilisée pour l’élévation de privilèges.

📅 Chronologie des divulgations

  • 25 février 2026 : Cisco divulgue CVE-2026-20127 (CVSS 10.0, authentication bypass, déjà exploitée) et trois autres CVEs (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122). CISA ajoute CVE-2026-20127 et CVE-2022-20775 au catalogue KEV.
  • Mars 2026 : Exploitation de CVE-2026-20128 et CVE-2026-20122 confirmée. ZeroZenX Labs publie un PoC pour la chaîne CVE-2026-20133/20128/20122.
  • Avril 2026 : Exploitation de CVE-2026-20133 confirmée. CISA ajoute CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 au KEV.
  • 14 mai 2026 : Cisco divulgue CVE-2026-20182 (CVSS 10.0, zero-day, authentication bypass). CISA émet la Directive d’urgence 26-03 et ajoute CVE-2026-20182 au KEV avec échéance de remédiation au 17 mai 2026.

🛡️ Vulnérabilités impliquées

CVE Description CVSS
CVE-2026-20182 Authentication Bypass (Controller & Manager) 10.0
CVE-2026-20127 Authentication Bypass (Controller & Manager) 10.0
CVE-2026-20133 Information Disclosure (Manager) 7.5
CVE-2026-20128 Credential Access (Manager) 7.5
CVE-2026-20122 Arbitrary File Overwrite (Manager) 5.4
CVE-2022-20775 CLI Path Traversal / Privilege Escalation 7.8

🎯 Acteur principal : UAT-8616

UAT-8616, désigné par Cisco Talos comme un acteur de menace « hautement sophistiqué », exploite les infrastructures Cisco SD-WAN depuis au moins 2023. Son infrastructure présente des chevauchements avec des réseaux Operational Relay Box (ORB). Il cible des secteurs d’infrastructure critique.

Chaîne d’attaque observée :

  1. Accès initial via CVE-2026-20182 ou CVE-2026-20127 (accès à un compte interne privilégié non-root)
  2. Manipulation NETCONF pour altérer la configuration réseau sur l’ensemble du fabric SD-WAN
  3. Downgrade logiciel pour exposer CVE-2022-20775 et obtenir un accès root
  4. Restauration de la version originale pour masquer le chemin d’exploitation
  5. Persistance : injection de clés SSH dans authorized_keys, activation de PermitRootLogin
  6. Effacement des traces : suppression de syslog, wtmp, lastlog, bash_history, cli-history

👥 10 clusters additionnels

Dix clusters distincts exploitent la chaîne CVE-2026-20133/20128/20122 depuis début mars 2026 (après publication du PoC). Leurs outils incluent :

  • Webshells : Godzilla, Behinder, XenShell
  • Frameworks offensifs : AdaptixC2, Sliver
  • Cryptomineurs : XMRig
  • Stealers : ciblant hashes admin, tokens JWT, credentials AWS

🔎 Indicateurs de compromission (IoC)

  • Entrées Accepted publickey for vmanage-admin dans /var/log/auth.log depuis IPs inconnues
  • Connexions avec state:up et challenge-ack: 0 dans show control connections detail
  • Clés SSH non autorisées dans /home/vmanage-admin/.ssh/authorized_keys/
  • PermitRootLogin activé dans /etc/ssh/sshd_config
  • Downgrades logiciels inexpliqués suivis de reboots

📌 Nature de l’article

Cet article est une FAQ technique et alerte de sécurité publiée par Tenable RSO, visant à centraliser les informations sur la campagne d’exploitation active de Cisco SD-WAN pour les équipes de sécurité et les opérateurs d’infrastructure.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1098.004 — Account Manipulation: SSH Authorized Keys (Persistence)
  • T1070.002 — Indicator Removal: Clear Linux or Mac System Logs (Defense Evasion)
  • T1070.003 — Indicator Removal: Clear Command History (Defense Evasion)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1195 — Supply Chain Compromise (Initial Access)
  • T1110 — Brute Force (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1496 — Resource Hijacking (Impact)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1021.004 — Remote Services: SSH (Lateral Movement)

IOC

  • CVEs : CVE-2026-20182NVD · CIRCL
  • CVEs : CVE-2026-20127NVD · CIRCL
  • CVEs : CVE-2026-20133NVD · CIRCL
  • CVEs : CVE-2026-20128NVD · CIRCL
  • CVEs : CVE-2026-20122NVD · CIRCL
  • CVEs : CVE-2022-20775NVD · CIRCL
  • Chemins : /var/log/auth.log
  • Chemins : /home/vmanage-admin/.ssh/authorized_keys/
  • Chemins : /etc/ssh/sshd_config

Malware / Outils

  • Godzilla (backdoor)
  • Behinder (backdoor)
  • XenShell (backdoor)
  • AdaptixC2 (framework)
  • Sliver (framework)
  • XMRig (other)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ⬜ tenable.com — source non référencée (0pts)
  • ✅ 13553 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 9 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 12 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : UAT-8616 (5pts)
  • ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.tenable.com/blog/faq-about-the-continued-exploitation-of-cisco-catalyst-sd-wan-vulnerabilities-uat-8616