Le 15 mai 2026, le CERT-FR a publié l'avis CERTFR-2026-AVI-0594 couvrant quatre vulnérabilités affectant Cisco Catalyst SD-WAN. Parmi elles, CVE-2026-20182 se distingue par un score CVSS de 10.0, le maximum possible. Cisco a confirmé une exploitation active limitée dès le mois de mai, et la CISA américaine a immédiatement inscrit la faille à son catalogue Known Exploited Vulnerabilities en imposant aux agences fédérales un délai de correction expirant le 17 mai 2026. Cisco Talos attribue la campagne au groupe UAT-8616, qualifié d'acteur menaçant très sophistiqué.
La situation concerne tous les types de déploiements : on-premise, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud en mode Cisco Managed, ainsi que Cisco SD-WAN for Government opérant sous FedRAMP. Autant dire que la surface d'attaque est considérable, et qu'aucune organisation utilisant Catalyst SD-WAN ne peut considérer le sujet comme périphérique.
La vulnérabilité touche Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage). Elle permet à un attaquant non authentifié et distant de contourner les mécanismes d'authentification pour obtenir des privilèges administratifs sur les composants centraux du fabric SD-WAN. Le score CVSS de 10.0 traduit la conjonction d'une exploitation à distance, sans authentification, sans interaction utilisateur, avec un impact total sur la confidentialité, l'intégrité et la disponibilité.
Sur le plan technique, la faille réside dans le mécanisme d'authentification peer-to-peer utilisé entre les composants SD-WAN. L'attaquant envoie des requêtes forgées vers le service vdaemon en s'appuyant sur DTLS sur le port UDP 12346. Une exploitation réussie permet de se connecter en tant qu'utilisateur interne disposant de privilèges élevés, bien que non-root. À partir de cette position, l'attaquant accède à NETCONF, l'interface de configuration réseau, et peut alors manipuler la configuration du fabric SD-WAN dans son ensemble. Le pas est dès lors très court entre la compromission d'un contrôleur et la prise de contrôle effective du réseau qu'il orchestre.
Cisco a publié l'avis cisco-sa-sdwan-rpa2-v69WY2SW et demande l'application immédiate des correctifs. La nature même du composant compromis, qui pilote la connectivité de l'ensemble du fabric, rend toute temporisation difficilement défendable.
Trois autres vulnérabilités sont couvertes par le même avis. CVE-2026-20209 porte atteinte à la confidentialité des données. CVE-2026-20210 permet une élévation de privilèges. CVE-2026-20224 autorise un contournement de la politique de sécurité. Bien que moins critiques individuellement que CVE-2026-20182, ces failles peuvent être chaînées ou exploitées de manière complémentaire dans le cadre d'une opération d'intrusion.
Le périmètre des versions vulnérables est large. Toutes les versions 20.9.x et antérieures sont concernées sans exception. Les branches 20.12.x doivent être mises à jour vers les versions correctives 20.12.5.4, 20.12.6.2 ou 20.12.7.1 selon le niveau de sous-version déployé. Les déploiements en 20.15.x doivent atteindre 20.15.5.2, ceux en 20.18.x doivent être portés en 20.18.2.2, et la branche 26.1.x doit être corrigée vers 26.1.1.1. La liste complète des branches affectées et des versions correctives est disponible dans l'avis Cisco cisco-sa-sdwan-rpa2-v69WY2SW.
Cette granularité impose un inventaire précis. Les équipes en charge des infrastructures SD-WAN doivent identifier sans ambiguïté la version exacte de chaque contrôleur et de chaque instance de Manager, sous peine d'appliquer un correctif qui ne couvrirait pas réellement leur branche de déploiement.
Cisco Talos attribue l'exploitation active de CVE-2026-20182 au groupe UAT-8616. Les chercheurs décrivent un acteur très sophistiqué dont les opérations vont bien au-delà d'une simple intrusion opportuniste. Après la compromission initiale d'un contrôleur, UAT-8616 cherche à consolider sa présence en ajoutant des clés SSH, en modifiant les configurations NETCONF et en tentant d'élever ses privilèges jusqu'au niveau root. L'objectif est clair : transformer un accès opportuniste en présence durable et difficile à éradiquer.
L'infrastructure utilisée par le groupe présente des chevauchements avec des réseaux de type Operational Relay Box, ou ORB, suivis par Talos. Ces réseaux, constitués de relais compromis, servent à anonymiser les communications de commande et de contrôle et à compliquer l'attribution. Leur usage signale un acteur structuré, disposant de moyens opérationnels stables dans le temps.
Ce n'est pas la première fois qu'UAT-8616 cible l'écosystème Cisco SD-WAN. Le groupe avait déjà exploité CVE-2026-20127, une vulnérabilité similaire dans Cisco Catalyst SD-WAN Controller. Cette continuité opérationnelle suggère une spécialisation marquée sur les équipements de cœur de réseau, avec une connaissance fine des architectures SD-WAN et de leurs points faibles.
La priorité absolue consiste à appliquer les correctifs publiés par Cisco. Pour CVE-2026-20182 en particulier, l'exploitation active confirmée, la criticité maximale et l'inscription au catalogue KEV de la CISA ne laissent aucune marge d'attente. Les organisations doivent recenser leurs instances de Catalyst SD-WAN Controller et SD-WAN Manager, valider les versions exactes en production et planifier la montée vers les versions correctives correspondantes.
En parallèle, il convient de rechercher des indices de compromission cohérents avec le mode opératoire d'UAT-8616. Les administrateurs doivent vérifier l'apparition de clés SSH non autorisées sur les contrôleurs, examiner les journaux NETCONF à la recherche de modifications inattendues de la configuration du fabric, et analyser les tentatives d'élévation de privilèges vers root. Les flux DTLS sur le port UDP 12346 doivent faire l'objet d'une surveillance renforcée, en particulier ceux provenant d'adresses externes au périmètre légitime de peering SD-WAN.
La segmentation et le filtrage des accès aux interfaces de gestion des contrôleurs SD-WAN méritent également un réexamen. Limiter l'exposition du service vdaemon aux seuls pairs autorisés réduit la surface offerte à un attaquant distant non authentifié, même en l'absence de correctif appliqué dans l'immédiat.
Enfin, les équipes de réponse aux incidents doivent intégrer UAT-8616 et son mode opératoire dans leurs scénarios de détection. La combinaison d'une faille notée 10.0, d'une exploitation déjà observée et d'un acteur disposant d'infrastructures ORB justifie de considérer toute instance non corrigée comme potentiellement déjà compromise, jusqu'à preuve du contraire.
Oui. La vulnérabilité est exploitable à distance, sans authentification, dès lors qu'un attaquant peut atteindre le service vdaemon en DTLS sur le port UDP 12346. Tout système Cisco Catalyst SD-WAN Controller ou SD-WAN Manager joignable sur ce port, y compris depuis Internet ou depuis un segment réseau non maîtrisé, constitue une cible potentielle. C'est précisément cette accessibilité à distance qui justifie le score CVSS de 10.0.
Plusieurs signaux doivent être recherchés en priorité : la présence de clés SSH inconnues sur les contrôleurs et managers, des modifications inattendues dans les journaux NETCONF, des tentatives d'élévation de privilèges vers le compte root, ainsi que des flux DTLS suspects sur le port UDP 12346 en provenance d'adresses qui ne correspondent pas au périmètre légitime de peering SD-WAN. La corrélation de ces indicateurs avec les chevauchements d'infrastructure ORB suivis par Talos permet d'affiner la détection.
Oui. L'avis Cisco couvre l'ensemble des modes de déploiement : on-premise, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud en mode Cisco Managed et Cisco SD-WAN for Government sous FedRAMP. Pour les instances cloud managées, Cisco prend en charge l'application des correctifs sur les composants qu'il opère, mais les clients restent responsables de la vérification de leur version et de la conformité de leur configuration une fois la mise à jour effectuée.
