

En 2026, le Cisco Catalyst SD-WAN Manager est devenu une cible récurrente pour les chercheurs en sécurité offensifs et les acteurs étatiques. Help Net Security a rapporté le 5 juin 2026 la divulgation de CVE-2026-20245, une faille zero-day affectant la CLI de Cisco Catalyst SD-WAN Manager, actuellement exploitée sans qu'aucun correctif ne soit disponible. C'est le septième zero-day documenté sur cette plateforme en 2026, un fait qui ne relève plus de la coïncidence.
CVE-2026-20245 est une vulnérabilité d'injection de commandes dans l'interface en ligne de commande (CLI) de Cisco Catalyst SD-WAN Manager. Elle résulte d'une validation insuffisante des entrées fournies par l'utilisateur lors du traitement d'un fichier uploadé. Un attaquant distant authentifié disposant des privilèges netadmin peut exploiter cette faille pour exécuter des commandes arbitraires avec des droits root sur le système sous-jacent.
Le score CVSS de 7.8 reflète la nécessité d'une authentification préalable, ce qui tempère légèrement la note par rapport à une faille exploitable sans credentials. Mais comme nous le verrons, cette exigence d'authentification est moins protectrice qu'elle n'y paraît dans les scénarios d'attaque réels.
La mécanique d'exploitation est directe : un attaquant disposant d'un accès netadmin prépare un fichier spécialement conçu pour contenir des séquences de caractères qui, lorsqu'elles sont traitées par la CLI de SD-WAN Manager sans validation suffisante, sont interprétées comme des commandes système. L'exécution de ce fichier via la CLI provoque l'exécution des commandes injectées avec les droits root du processus SD-WAN Manager. Une fois root obtenu sur le gestionnaire SD-WAN, l'attaquant contrôle le cerveau de toute l'infrastructure réseau étendue de l'organisation.
Les incidents confirmés par SecurityWeek incluent des cas où des modifications de configuration ont été poussées sur des équipements edge, ce qui illustre l'impact concret d'une compromission : un attaquant peut rediriger le trafic d'entreprise, insérer des sondes d'écoute ou couper la connectivité de sites entiers, sans que les équipes réseau ne détectent immédiatement l'intrusion.
La répétition de zero-days sur Cisco SD-WAN en 2026 est le signal le plus préoccupant de cette divulgation. La Cloud Security Alliance note que sept failles zero-day sur une même plateforme en un an indiquent une attention soutenue de la part de chercheurs en sécurité offensifs, qu'ils soient indépendants ou affiliés à des acteurs étatiques. Ce n'est pas le signe d'une mauvaise qualité de code ponctuelle, c'est le signe d'une plateforme sous surveillance constante, probablement parce que sa compromission offre un accès stratégique à des infrastructures réseau entières.
La nécessité de disposer de privilèges netadmin peut sembler une barrière significative. En pratique, cette barrière est plus fragile qu'elle n'y paraît pour plusieurs raisons.
Le rôle netadmin dans Cisco SD-WAN Manager est un rôle d'administration réseau qui permet la gestion des configurations, des politiques et des équipements. Il est attribué à des ingénieurs réseau et des administrateurs système dans les organisations qui déploient SD-WAN. Ses credentials peuvent être compromis par plusieurs vecteurs : phishing ciblé contre les équipes réseau, exfiltration depuis un gestionnaire de mots de passe compromis, ou réutilisation de credentials volés dans une autre attaque.
Selon The Hacker News, les privilèges netadmin peuvent également être obtenus en chaînant CVE-2026-20245 avec des vulnérabilités SD-WAN précédemment divulguées telles que CVE-2026-20182 ou CVE-2026-20127. Cette possibilité de chaînage signifie qu'un attaquant qui a déjà exploité une faille moins critique dans l'écosystème SD-WAN peut ensuite élever ses droits jusqu'au niveau netadmin avant d'exploiter CVE-2026-20245 pour atteindre root.
Ce schéma de chaînage est une caractéristique des attaques sophistiquées sur des infrastructures réseau complexes. L'exploitation de CVE-2026-20245 ne représente probablement pas la première étape d'une attaque, mais son étape finale dans une séquence où l'attaquant a progressivement élargi ses droits. Pour les équipes de sécurité qui suivent l'évolution de leur surface d'exposition, cela signifie que toute vulnérabilité non corrigée dans l'écosystème SD-WAN est potentiellement une rampe vers l'exploitation de CVE-2026-20245.
CVE-2026-20245 affecte tous les modes de déploiement de Cisco Catalyst SD-WAN Manager, sans exception.
L'étendue des déploiements affectés couvre les installations sur site (on-premises), les environnements Cloud-Pro, les déploiements Cloud gérés par Cisco, et les environnements Government conformes FedRAMP. Cette universalité est notable : il n'existe pas de configuration de déploiement qui protège intrinsèquement contre cette vulnérabilité. Qu'une organisation gère son propre gestionnaire SD-WAN ou délègue cette gestion à Cisco, la faille est présente.
Les incidents documentés au moment de la divulgation impliquent des modifications non autorisées de configuration poussées sur des équipements réseau périphériques. Ce type d'action, qui ne déclenche pas nécessairement d'alertes de sécurité immédiates dans un environnement SD-WAN standard, illustre la difficulté de détecter l'exploitation de cette faille. Un administrateur réseau qui examine les journaux de configuration pourrait attribuer ces changements à une opération légitime.
Cisco n'a pas publié de correctif pour CVE-2026-20245 au moment de la divulgation. Cisco indique travailler sur des mises à jour de sécurité sans communiquer de date précise. En l'absence de correctif, les organisations exposées doivent s'appuyer sur des mesures compensatoires : restreindre l'accès à la CLI de SD-WAN Manager aux seuls systèmes d'administration de confiance via des ACL réseau, mettre en place une authentification multifacteur pour tous les comptes disposant de privilèges netadmin ou supérieurs, et surveiller activement les journaux d'accès à la CLI pour détecter des sessions anormales ou des uploads de fichiers inhabituels.
La surveillance des indicateurs de compromission sur les équipements SD-WAN edge est également prioritaire : des changements de configuration non planifiés, des redirections de trafic inattendues ou des nouvelles routes BGP non autorisées peuvent signaler une exploitation en cours.
Cisco Catalyst SD-WAN Manager est le point de contrôle centralisé de nombreuses architectures WAN d'entreprise. Il gère les politiques de routage, la segmentation réseau, la qualité de service et la connectivité entre les sites distants, les centres de données et les clouds. Sa compromission donne à un attaquant une visibilité et un contrôle sans précédent sur l'ensemble du réseau étendu d'une organisation.
Depuis un SD-WAN Manager compromis, un attaquant peut reconfigurer les politiques de routage pour rediriger des flux de données vers des points d'écoute sous son contrôle, modifier la segmentation réseau pour ouvrir des chemins d'accès vers des segments normalement isolés, ou désactiver la connectivité de sites entiers — succursales, usines, entrepôts — pour provoquer une interruption d'activité ciblée. Cette capacité de perturbation sélective est particulièrement attractive pour des acteurs menés par des motivations géopolitiques ou d'espionnage industriel.
Dans les architectures SD-WAN typiques, des dizaines à des centaines de sites distants sont gérés depuis un point de contrôle unique. Un attaquant qui contrôle ce point de contrôle accède indirectement à l'intégralité de ces sites sans avoir besoin de les compromettre individuellement. C'est cette capacité de multiplication de l'impact qui justifie l'attention soutenue des acteurs offensifs sur cette plateforme en 2026.
En attendant un correctif de Cisco, les équipes sécurité doivent agir sur plusieurs fronts simultanément. Premièrement, auditer immédiatement la liste des comptes disposant de privilèges netadmin ou supérieurs dans SD-WAN Manager et désactiver tous les comptes non nécessaires. Deuxièmement, activer la journalisation complète de la CLI et configurer des alertes sur les uploads de fichiers et les sessions d'administration anormales. Troisièmement, restreindre l'accès à l'interface d'administration SD-WAN aux seules adresses IP des équipes réseau autorisées, via des règles de pare-feu appliquées en amont de SD-WAN Manager. Enfin, surveiller activement les configurations des équipements edge pour détecter des changements non planifiés, en comparant l'état actuel avec une baseline de configuration de référence.
Le rôle netadmin (Network Administrator) est l'un des rôles d'administration disponibles dans Cisco SD-WAN Manager. Il accorde des droits étendus sur la configuration réseau : gestion des politiques de routage, des configurations de tunnels, des équipements edge et de la segmentation. C'est un rôle opérationnel quotidien pour les ingénieurs réseau qui administrent les déploiements SD-WAN, ce qui signifie que ses credentials existent dans de nombreuses organisations et constituent une cible crédible pour les attaquants.
Les vecteurs les plus probables sont le phishing ciblé contre les équipes réseau, la réutilisation de credentials compromis dans d'autres attaques, ou le chaînage avec des vulnérabilités SD-WAN précédemment exploitées qui permettent une élévation de privilèges progressive. Un attaquant qui a déjà un accès de niveau inférieur dans l'environnement SD-WAN peut utiliser des CVE antérieures pour escalader jusqu'au niveau netadmin.
Au moment de la divulgation de CVE-2026-20245, Cisco n'avait pas communiqué de date précise pour la publication d'un correctif. L'entreprise indique travailler activement sur des mises à jour de sécurité. Il est recommandé de suivre les avis de sécurité Cisco directement sur leur portail officiel et de configurer des alertes pour les nouvelles publications concernant Cisco Catalyst SD-WAN Manager.
CVE-2026-20245 est spécifique à Cisco Catalyst SD-WAN Manager, le composant logiciel de gestion centralisée de la gamme SD-WAN. Elle n'affecte pas les routeurs Cisco classiques (IOS/IOS-XE) ni d'autres produits Cisco. Cependant, si votre organisation utilise Cisco SD-WAN pour interconnecter des sites qui utilisent par ailleurs des routeurs IOS classiques, la compromission du SD-WAN Manager peut indirectement affecter ces équipements via des modifications de configuration poussées depuis le gestionnaire compromis.
Sur les systèmes Linux qui sous-tendent Cisco SD-WAN Manager, root est le compte d'administration système avec des droits complets sur l'ensemble du système d'exploitation. Un attaquant disposant d'un accès root peut lire et modifier tous les fichiers de configuration, installer des logiciels malveillants persistants, créer de nouveaux comptes d'accès, accéder aux clés cryptographiques stockées sur le système, et interagir directement avec les équipements réseau gérés par le système. C'est le niveau de contrôle le plus élevé possible sur un système informatique.
Pour comprendre la signification réelle de CVE-2026-20245, il faut la replacer dans la séquence des six failles zero-day qui l'ont précédée sur la même plateforme en 2026. Cisco SD-WAN n'est pas victime d'une mauvaise semaine : il est sous surveillance offensive intensive depuis le début de l'année, et chaque nouvelle divulgation révèle des aspects différents de son architecture qui n'avaient pas encore été explorés publiquement.
CVE-2026-20182 et CVE-2026-20127, citées par The Hacker News comme des rampes d'accès potentielles vers CVE-2026-20245, ont toutes deux été divulguées plus tôt dans l'année. Elles permettent à un attaquant disposant d'un accès de niveau inférieur dans l'environnement SD-WAN d'escalader ses privilèges progressivement. Le schéma qui se dessine est celui d'une plateforme dont les différentes couches de contrôle d'accès peuvent être contournées de manière séquentielle par un attaquant patient et méthodique, sans qu'aucune faille individuelle ne soit suffisante à elle seule pour compromettre complètement le système.
Ce type d'exploitation en chaîne est caractéristique d'acteurs disposant de ressources importantes et d'une connaissance approfondie de la plateforme ciblée. La recherche offensive concentrée sur Cisco SD-WAN en 2026 suggère soit que des chercheurs en sécurité offensifs indépendants ont identifié la plateforme comme une cible riche en vulnérabilités non documentées, soit , hypothèse plus préoccupante , que des acteurs étatiques disposant d'équipes dédiées ont investi dans la cartographie systématique de cette infrastructure stratégique.
Pour évaluer l'impact réel d'une compromission de SD-WAN Manager, il faut comprendre son rôle architectural. Cisco Catalyst SD-WAN Manager est le plan de gestion centralisé de l'architecture SD-WAN. Il est le seul point depuis lequel les administrateurs configurent les politiques de routage, les tunnels chiffrés entre sites, la qualité de service et la segmentation réseau de l'ensemble du déploiement WAN.
Dans une architecture SD-WAN typique, SD-WAN Manager communique avec deux autres composants centraux : SD-WAN Orchestrator, qui facilite la découverte et l'authentification des équipements, et SD-WAN Controller (vSmart), qui distribue les politiques de routage calculées par le Manager vers les équipements edge. Un attaquant qui contrôle SD-WAN Manager contrôle donc indirectement l'ensemble du plan de routage de l'organisation, y compris la capacité à modifier les politiques distribuées par vSmart vers tous les sites.
Cette architecture centralisée, qui est précisément ce qui rend SD-WAN si attrayant pour les entreprises multi-sites (un seul point de gestion pour des centaines de sites), est aussi ce qui en fait une cible si stratégique. La compromission d'un seul composant logiciel donne un effet de levier considérable sur l'ensemble de l'infrastructure réseau étendue.
Au-delà des implications théoriques, il est utile de considérer ce qu'un attaquant peut concrètement accomplir depuis un SD-WAN Manager compromis dans les premières heures suivant la prise de contrôle.
La première action typique documentée dans les incidents confirmés est la modification silencieuse des politiques de routage pour créer une copie miroir du trafic vers une destination contrôlée par l'attaquant. Cette technique, connue sous le nom de traffic mirroring ou SPAN à distance, permet à l'attaquant d'intercepter passivement tout le trafic réseau de l'organisation sans interrompre le fonctionnement normal. Les utilisateurs ne remarquent rien, les équipes réseau ne voient pas d'alertes évidentes, mais toutes les communications transitant par le WAN sont potentiellement capturées.
La deuxième action fréquemment observée est la modification des configurations de tunnels pour insérer un nœud d'écoute entre deux sites. Dans une architecture SD-WAN, les tunnels IPsec chiffrés entre les sites passent normalement par des chemins définis par les politiques de routage. Un attaquant qui contrôle ces politiques peut rediriger le trafic d'un tunnel existant pour le faire transiter par un équipement sous son contrôle avant de le retransmettre vers sa destination légitime , une attaque de type man-in-the-middle qui ne nécessite pas de briser le chiffrement si l'équipement intercepteur peut décrypter et rechiffrer le trafic avec des clés qu'il contrôle.
Enfin, la capacité de déni de service sélectif est peut-être l'impact le plus immédiatement destructeur. Un attaquant peut couper la connectivité de sites spécifiques , une usine, un centre de données secondaire, un bureau régional , en désactivant les tunnels correspondants ou en modifiant les politiques de routage pour les isoler du reste du réseau. Ce type d'attaque peut paralyser des opérations commerciales entières sans qu'il soit évident dans un premier temps qu'il s'agit d'une cyberattaque plutôt que d'une panne réseau ordinaire.
La compromission d'un SD-WAN Manager dans un environnement soumis à des obligations réglementaires , PCI DSS pour les paiements, HIPAA pour les données de santé, NIS2 pour les opérateurs de services essentiels , entraîne des obligations de notification et de remédiation qui vont bien au-delà de la simple correction technique.
Sous NIS2, les opérateurs de services essentiels et les fournisseurs de services numériques sont tenus de notifier les autorités compétentes dans les 24 heures suivant la détection d'un incident significatif, et dans les 72 heures pour un rapport plus détaillé. Une compromission de SD-WAN Manager, qui touche potentiellement l'ensemble de l'infrastructure de communication d'une organisation, entre clairement dans la catégorie des incidents significatifs au sens de la directive. Ne pas notifier dans les délais expose l'organisation à des sanctions administratives, et le fait de ne pas avoir appliqué les mesures compensatoires disponibles en l'absence de correctif peut être retenu comme un manquement à l'obligation de sécurité.
Pour les équipes de sécurité qui gèrent des environnements SD-WAN dans des secteurs réglementés, CVE-2026-20245 doit donc être traitée à la fois comme un problème technique et comme un problème de conformité. La documentation des mesures compensatoires mises en place, des audits de configuration effectués et des processus de surveillance renforcés constitue un dossier de diligence raisonnable qui peut être crucial en cas d'enquête réglementaire.
En l'absence de correctif disponible, les organisations qui exploitent Cisco SD-WAN doivent préparer leurs procédures de réponse à incident pour le scénario d'une compromission de SD-WAN Manager avant que celle-ci ne se produise. Cette préparation proactive est la marque d'un programme de sécurité mature, et elle réduit considérablement le temps de réponse lorsqu'un incident est détecté.
La première étape de cette préparation est la création d'une baseline de configuration : une capture complète de l'état actuel de toutes les politiques SD-WAN, configurations de tunnels, listes de contrôle d'accès et paramètres d'équipements. Cette baseline doit être stockée hors du système SD-WAN lui-même, dans un environnement qui ne peut pas être modifié par un attaquant ayant compromis SD-WAN Manager. Elle servira de référence pour détecter des modifications non autorisées et comme point de restauration en cas de compromission confirmée.
La deuxième étape est la définition d'un playbook de réponse spécifique à la compromission SD-WAN, qui précise les critères de détection (quels journaux surveiller, quels changements de configuration constituent un signal d'alerte), les premiers interlocuteurs internes à notifier (équipe réseau, RSSI, direction), les actions d'isolation (comment déconnecter SD-WAN Manager du réseau de production sans couper la connectivité des sites), et les contacts chez Cisco TAC pour une assistance d'urgence. Ce type de préparation, ancré dans une compréhension approfondie des indicateurs de compromission spécifiques à l'environnement SD-WAN, peut faire la différence entre un incident contenu en quelques heures et une crise qui dure plusieurs jours.
Defendis aide les équipes sécurité à surveiller les actifs exposés, les identifiants compromis et l'activité des acteurs malveillants sur le dark web et les sources ouvertes.
pour découvrir comment la veille sur les menaces peut renforcer la posture de sécurité de votre organisation.
L'exposition aux vulnérabilités Cisco active en 2026 ne se limite pas aux produits réseau. CVE-2026-20230, une faille SSRF dans Cisco Unified Communications Manager, permet à un attaquant non authentifié d'écrire des fichiers arbitraires sur le système et d'élever ses privilèges en root via le composant WebDialer. Des chercheurs ont confirmé une exploitation active peu après la divulgation publique. Nous analysons cette faille en détail dans notre article sur CVE-2026-20230 dans Cisco Unified CM.
Ce type de menace illustre un problème structurel : les informations critiques sur une campagne active circulent d'abord dans des canaux fermés, forums clandestins et groupes Telegram privés, avant d'atteindre les équipes de sécurité par les canaux habituels. Le temps perdu dans cet écart est souvent celui où l'exploitation est la plus active.
Defendis surveille ces sources en continu. Votre équipe reçoit des signaux d'alerte pertinents avant que l'incident ne devienne public, avec le contexte nécessaire pour agir : nature de la menace, infrastructure associée, secteurs ciblés. Sans que vos analystes aient à patrouiller eux-mêmes dans des espaces qu'ils ne devraient pas avoir à fréquenter.