Exploitation active de CVE-2026-20127 dans Cisco Catalyst SDâWAN par lâacteur UATâ8616
Contexte: Cisco Talos signale une exploitation active visant Cisco Catalyst SDâWAN Controller (exâvSmart), dĂ©taillant la vulnĂ©rabilitĂ© CVE-2026-20127, les modes opĂ©ratoires de lâacteur « UATâ8616 » et des pistes de dĂ©tection et de chasse. âą VulnĂ©rabilitĂ© et impact. Une faille dâauthentification (CVE-2026-20127) permet Ă un attaquant distant non authentifiĂ© de contourner lâauthentification et dâobtenir des privilĂšges administratifs sur le contrĂŽleur, comme compte interne Ă hauts privilĂšges (nonâroot). Talos observe une exploitation active et remonte des traces dâactivitĂ© depuis au moins 2023. Lâacteur, UATâ8616 (Ă©valuĂ© hautement sophistiquĂ©), a ensuite escaladĂ© vers root via un downgrade logiciel, a exploitĂ© CVE-2022-20775, puis a restaurĂ© la version dâorigine, obtenant lâaccĂšs root. Cette campagne sâinscrit dans la cible rĂ©currente des Ă©quipements de bordure rĂ©seau des organisations Ă forte valeur, y compris les infrastructures critiques. ...