🗓️ Contexte

Source : The Register — Publié le 15 mai 2026. Cisco a publié un avis de sécurité d’urgence concernant une vulnérabilité de sévérité maximale affectant ses produits Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage).

🔴 Vulnérabilité

  • CVE-2026-20182 — Score CVSS : 10.0 (critique)
  • Affecte tous les types de déploiement des deux composants
  • Cause : mécanisme d’authentification par peering défaillant
  • Permet à un attaquant non authentifié à distance de contourner l’authentification et d’obtenir des privilèges administrateur sur le système affecté
  • Une fois authentifié, l’attaquant peut émettre des commandes NETCONF arbitraires, permettant : vol de données, interception de trafic, manipulation des règles de pare-feu, mise hors service du réseau

🕵️ Découverte et exploitation

  • Vulnérabilité découverte par Stephen Fewer et Jonah Burgess de Rapid7, signalée début mars 2026
  • Cisco a confirmé en mai 2026 que CVE-2026-20182 avait été exploitée en zero-day
  • Aucune attribution de l’activité d’exploitation n’a été communiquée
  • Aucune exploitation dans le cadre d’attaques ransomware n’a été signalée
  • La découverte fait suite à l’investigation d’un précédent zero-day : CVE-2026-20127 (CVSS 10.0, février 2026), également un contournement d’authentification dans Cisco Catalyst SD-WAN Controller

🏛️ Réponse institutionnelle

  • La CISA a ajouté CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities (KEV)
  • Les agences fédérales civiles (FCEB) ont 3 jours pour appliquer les correctifs — délai exceptionnellement court
  • Cisco indique qu’aucun contournement (workaround) n’est disponible et recommande fortement l’application des correctifs

🔍 Indicateurs de compromission

Cisco recommande d’auditer le fichier /var/log/auth.log pour détecter des entrées du type :

  • Accepted publickey for vmanage-admin from unknown or unauthorized IP addresses
  • Vérifier ces adresses IP contre les System IPs configurés dans l’interface web de Cisco Catalyst SD-WAN Manager

📋 Type d’article

Article de presse spécialisée relatant une divulgation de vulnérabilité critique activement exploitée, accompagnée d’une alerte de sécurité d’urgence et d’instructions de détection.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1562.004 — Impair Defenses: Disable or Modify System Firewall (Defense Evasion)
  • T1557 — Adversary-in-the-Middle (Collection)
  • T1565 — Data Manipulation (Impact)

IOC

  • CVEs : CVE-2026-20182NVD · CIRCL
  • CVEs : CVE-2026-20127NVD · CIRCL
  • Fichiers : auth.log
  • Chemins : /var/log/auth.log

🟡 Indice de vérification factuelle : 40/100 (moyenne)

  • ⬜ theregister.com — source non référencée (0pts)
  • ✅ 3360 chars — texte complet (15pts)
  • ✅ 4 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.theregister.com/patches/2026/05/15/cisco-discloses-yet-another-sd-wan-make-me-admin-0-day/5241071

🖴 Archive : https://web.archive.org/web/20260518074257/https://www.theregister.com/patches/2026/05/15/cisco-discloses-yet-another-sd-wan-make-me-admin-0-day/5241071