Ep.585 - RadioCSIRT Édition Française – Votre actualité Cybersécurité du mercredi 25 février 2026
Nous ouvrons cette édition avec une alerte coordonnée de l'Australian Signals Directorate concernant l'exploitation active d'appliances Cisco Catalyst SD-WAN. L'ASD's ACSC a identifié et signalé à Cisco la vulnérabilité CVE-2026-20127, un Authentication Bypass avec un score CVSS de 10.0 affectant le SD-WAN Controller et le SD-WAN Manager. Les attaquants exploitent une faiblesse du mécanisme de Peering Authentication pour obtenir un accès privilégié, ajouter un Rogue Peer au fabric et établir une persistance via un accès Root. Un guide de Threat Hunting co-rédigé avec la CISA, la NSA, le NCSC britannique et les CERT canadien et néo-zélandais accompagne l'alerte.
La CISA ajoute deux vulnérabilités à son catalogue KEV : CVE-2026-20127 et CVE-2022-20775, une vulnérabilité de Path Traversal sur les mêmes équipements SD-WAN. L'agence publie simultanément l'Emergency Directive ED 26-03, imposant aux agences fédérales civiles américaines un inventaire immédiat, la collecte d'artefacts forensiques, l'application des correctifs et une évaluation de compromission, avec une deadline fixée au 27 février 2026.
Le CERT-FR publie l'alerte CERTFR-2026-ALE-002, confirmant l'exploitation active de CVE-2026-20127. Les versions affectées couvrent Catalyst SD-WAN 20.12.5.x, 20.12.6.x, 20.15.x, 20.18.x et les versions antérieures à 20.9.8.2. Les branches 20.11.x, 20.13.x, 20.14.x et 20.16.x sont vulnérables mais ne recevront pas de correctifs, ayant atteint leur fin de maintenance. Aucun Workaround n'est disponible.
Enfin, selon BleepingComputer, Cisco Talos attribue l'exploitation à un acteur désigné UAT-8616, qualifié de hautement sophistiqué, actif depuis 2023. La chaîne d'attaque combine CVE-2026-20127 pour l'accès initial et CVE-2022-20775 pour l'élévation de privilèges. Les indicateurs de compromission incluent des comptes malveillants créés puis supprimés, des clés SSH injectées, l'activation du PermitRootLogin et des fichiers de logs anormalement petits ou absents.
Sources :
-
Australian Signals Directorate – Exploitation of Cisco SD-WAN appliances : https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/exploitation-of-cisco-sd-wan-appliances
-
CISA – Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/25/cisa-adds-two-known-exploited-vulnerabilities-catalog
-
CERT-FR – Alerte CERTFR-2026-ALE-002 : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-002/
-
BleepingComputer – Critical Cisco SD-WAN bug exploited in zero-day attacks since 2023 : https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Nous ouvrons cette édition avec une alerte coordonnée de l'Australian Signals Directorate concernant l'exploitation active d'appliances Cisco Catalyst SD-WAN. L'ASD's ACSC a identifié et signalé à Cisco la vulnérabilité CVE-2026-20127, un Authentication Bypass avec un score CVSS de 10.0 affectant le SD-WAN Controller et le SD-WAN Manager. Les attaquants exploitent une faiblesse du mécanisme de Peering Authentication pour obtenir un accès privilégié, ajouter un Rogue Peer au fabric et établir une persistance via un accès Root. Un guide de Threat Hunting co-rédigé avec la CISA, la NSA, le NCSC britannique et les CERT canadien et néo-zélandais accompagne l'alerte.
La CISA ajoute deux vulnérabilités à son catalogue KEV : CVE-2026-20127 et CVE-2022-20775, une vulnérabilité de Path Traversal sur les mêmes équipements SD-WAN. L'agence publie simultanément l'Emergency Directive ED 26-03, imposant aux agences fédérales civiles américaines un inventaire immédiat, la collecte d'artefacts forensiques, l'application des correctifs et une évaluation de compromission, avec une deadline fixée au 27 février 2026.
Le CERT-FR publie l'alerte CERTFR-2026-ALE-002, confirmant l'exploitation active de CVE-2026-20127. Les versions affectées couvrent Catalyst SD-WAN 20.12.5.x, 20.12.6.x, 20.15.x, 20.18.x et les versions antérieures à 20.9.8.2. Les branches 20.11.x, 20.13.x, 20.14.x et 20.16.x sont vulnérables mais ne recevront pas de correctifs, ayant atteint leur fin de maintenance. Aucun Workaround n'est disponible.
Enfin, selon BleepingComputer, Cisco Talos attribue l'exploitation à un acteur désigné UAT-8616, qualifié de hautement sophistiqué, actif depuis 2023. La chaîne d'attaque combine CVE-2026-20127 pour l'accès initial et CVE-2022-20775 pour l'élévation de privilèges. Les indicateurs de compromission incluent des comptes malveillants créés puis supprimés, des clés SSH injectées, l'activation du PermitRootLogin et des fichiers de logs anormalement petits ou absents.
Sources :
- Australian Signals Directorate – Exploitation of Cisco SD-WAN appliances : https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/exploitation-of-cisco-sd-wan-appliances
- CISA – Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/25/cisa-adds-two-known-exploited-vulnerabilities-catalog
- CERT-FR – Alerte CERTFR-2026-ALE-002 : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-002/
- BleepingComputer – Critical Cisco SD-WAN bug exploited in zero-day attacks since 2023 : https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
- RadioCSIRT
- CSIRT
- CERT
- CISA
- NCSC
- ASD
- CISCO
- Cybersecurité
- Marc Frédéric GOMEZ
- CVE-2026-20127
- CVE-2022-20775
- CISCO Talos
- BleepingComputer
- CERT-FR
- ANSSI
- CERT-FR-2026-ALE-002
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.