CVE-2026-20128 on CyberVeille https://cyberveille.ch/tags/cve-2026-20128/ Recent content in CVE-2026-20128 on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 15 May 2026 00:00:00 +0000 Exploitation active de vulnérabilités critiques Cisco Catalyst SD-WAN par UAT-8616 et 10 clusters https://cyberveille.ch/posts/2026-05-15-exploitation-active-de-vulnerabilites-critiques-cisco-catalyst-sd-wan-par-uat-8616-et-10-clusters/ Fri, 15 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-15-exploitation-active-de-vulnerabilites-critiques-cisco-catalyst-sd-wan-par-uat-8616-et-10-clusters/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 14 mai 2026 par l&rsquo;équipe Research Special Operations (RSO) de Tenable, cet article de type FAQ documente l&rsquo;exploitation active et continue de <strong>cinq vulnérabilités critiques dans Cisco Catalyst SD-WAN Controller et Manager</strong>, ainsi qu&rsquo;une sixième vulnérabilité plus ancienne utilisée pour l&rsquo;élévation de privilèges.</p> <h2 id="-chronologie-des-divulgations">📅 Chronologie des divulgations</h2> <ul> <li><strong>25 février 2026</strong> : Cisco divulgue <strong>CVE-2026-20127</strong> (CVSS 10.0, authentication bypass, déjà exploitée) et trois autres CVEs (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122). CISA ajoute CVE-2026-20127 et CVE-2022-20775 au catalogue KEV.</li> <li><strong>Mars 2026</strong> : Exploitation de CVE-2026-20128 et CVE-2026-20122 confirmée. ZeroZenX Labs publie un PoC pour la chaîne CVE-2026-20133/20128/20122.</li> <li><strong>Avril 2026</strong> : Exploitation de CVE-2026-20133 confirmée. CISA ajoute CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 au KEV.</li> <li><strong>14 mai 2026</strong> : Cisco divulgue <strong>CVE-2026-20182</strong> (CVSS 10.0, zero-day, authentication bypass). CISA émet la <strong>Directive d&rsquo;urgence 26-03</strong> et ajoute CVE-2026-20182 au KEV avec échéance de remédiation au <strong>17 mai 2026</strong>.</li> </ul> <h2 id="-vulnérabilités-impliquées">🛡️ Vulnérabilités impliquées</h2> <table> <thead> <tr> <th>CVE</th> <th>Description</th> <th>CVSS</th> </tr> </thead> <tbody> <tr> <td>CVE-2026-20182</td> <td>Authentication Bypass (Controller &amp; Manager)</td> <td>10.0</td> </tr> <tr> <td>CVE-2026-20127</td> <td>Authentication Bypass (Controller &amp; Manager)</td> <td>10.0</td> </tr> <tr> <td>CVE-2026-20133</td> <td>Information Disclosure (Manager)</td> <td>7.5</td> </tr> <tr> <td>CVE-2026-20128</td> <td>Credential Access (Manager)</td> <td>7.5</td> </tr> <tr> <td>CVE-2026-20122</td> <td>Arbitrary File Overwrite (Manager)</td> <td>5.4</td> </tr> <tr> <td>CVE-2022-20775</td> <td>CLI Path Traversal / Privilege Escalation</td> <td>7.8</td> </tr> </tbody> </table> <h2 id="-acteur-principal--uat-8616">🎯 Acteur principal : UAT-8616</h2> <p><strong>UAT-8616</strong>, désigné par Cisco Talos comme un acteur de menace « hautement sophistiqué », exploite les infrastructures Cisco SD-WAN <strong>depuis au moins 2023</strong>. Son infrastructure présente des chevauchements avec des réseaux <strong>Operational Relay Box (ORB)</strong>. Il cible des <strong>secteurs d&rsquo;infrastructure critique</strong>.</p>