https://cyberveille.ch/tags/netconf/ Recent content in NETCONF on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Tue, 19 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-19-cisco-sd-wan-vulnerabilite-critique-cve-2026-20182-exploitee-en-zero-day-patch-d-urgence-requis/ Tue, 19 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-19-cisco-sd-wan-vulnerabilite-critique-cve-2026-20182-exploitee-en-zero-day-patch-d-urgence-requis/ <h2 id="-contexte">🗓️ Contexte</h2> <p>Source : The Register — Publié le 15 mai 2026. Cisco a publié un avis de sécurité d&rsquo;urgence concernant une vulnérabilité de sévérité maximale affectant ses produits <strong>Cisco Catalyst SD-WAN Controller</strong> (anciennement vSmart) et <strong>Cisco Catalyst SD-WAN Manager</strong> (anciennement vManage).</p> <h2 id="-vulnérabilité">🔴 Vulnérabilité</h2> <ul> <li><strong>CVE-2026-20182</strong> — Score CVSS : <strong>10.0 (critique)</strong></li> <li>Affecte <strong>tous les types de déploiement</strong> des deux composants</li> <li>Cause : <strong>mécanisme d&rsquo;authentification par peering défaillant</strong></li> <li>Permet à un attaquant <strong>non authentifié à distance</strong> de contourner l&rsquo;authentification et d&rsquo;obtenir des <strong>privilèges administrateur</strong> sur le système affecté</li> <li>Une fois authentifié, l&rsquo;attaquant peut émettre des <strong>commandes NETCONF arbitraires</strong>, permettant : vol de données, interception de trafic, manipulation des règles de pare-feu, mise hors service du réseau</li> </ul> <h2 id="-découverte-et-exploitation">🕵️ Découverte et exploitation</h2> <ul> <li>Vulnérabilité découverte par <strong>Stephen Fewer et Jonah Burgess</strong> de <strong>Rapid7</strong>, signalée début mars 2026</li> <li>Cisco a confirmé en <strong>mai 2026</strong> que CVE-2026-20182 avait été <strong>exploitée en zero-day</strong></li> <li>Aucune attribution de l&rsquo;activité d&rsquo;exploitation n&rsquo;a été communiquée</li> <li>Aucune exploitation dans le cadre d&rsquo;attaques ransomware n&rsquo;a été signalée</li> <li>La découverte fait suite à l&rsquo;investigation d&rsquo;un précédent zero-day : <strong>CVE-2026-20127</strong> (CVSS 10.0, février 2026), également un contournement d&rsquo;authentification dans Cisco Catalyst SD-WAN Controller</li> </ul> <h2 id="-réponse-institutionnelle">🏛️ Réponse institutionnelle</h2> <ul> <li>La <strong>CISA</strong> a ajouté CVE-2026-20182 à son catalogue <strong>Known Exploited Vulnerabilities (KEV)</strong></li> <li>Les agences fédérales civiles (FCEB) ont <strong>3 jours</strong> pour appliquer les correctifs — délai exceptionnellement court</li> <li>Cisco indique qu&rsquo;<strong>aucun contournement (workaround) n&rsquo;est disponible</strong> et recommande fortement l&rsquo;application des correctifs</li> </ul> <h2 id="-indicateurs-de-compromission">🔍 Indicateurs de compromission</h2> <p>Cisco recommande d&rsquo;auditer le fichier <strong><code>/var/log/auth.log</code></strong> pour détecter des entrées du type :</p>