Nouvelle faille critique zero-day chez Cisco : une menace persistante exploite les contrôleurs SD-WAN

Un groupe de cybermenace connu pour ses attaques prolongées contre les infrastructures réseau de Cisco a exploité une faille zero-day critique dans les contrôleurs et gestionnaires Cisco Catalyst SD-WAN. Cette vulnérabilité, classée avec un score CVSS de 10, permet à des attaquants de contourner l'authentification et d'obtenir un accès administratif total.

Selon un avis de menace publié par Cisco jeudi, les attaques restent limitées mais s'inscrivent dans une série d'exploitations ciblant les pare-feux et systèmes SD-WAN du géant des réseaux. La faille, identifiée sous le nom de CVE-2026-20182, a été décrite par Douglas McKee, directeur de l'intelligence sur les vulnérabilités chez Rapid7, comme « une clé maîtresse » pour les cybercriminels. « Un attaquant peut se faire passer pour un routeur réseau de confiance et, si le système ne valide pas correctement cette identité, obtenir les plus hauts privilèges administratifs », a-t-il expliqué.

Rapid7 a découvert et signalé cette vulnérabilité à Cisco dès le 9 mars. L'éditeur a confirmé que des exploitations limitées avaient été détectées plus tôt ce mois-ci. Un correctif a été publié jeudi, et l'Agence américaine de cybersécurité (CISA) a immédiatement ajouté cette faille à son catalogue des vulnérabilités exploitées. Cisco n'a pas détaillé les activités survenues durant les deux mois précédant la publication du correctif.

Cette nouvelle faille s'ajoute à une série d'attaques ciblant les logiciels d'infrastructure réseau de Cisco depuis fin février. L'entreprise est l'une des plus touchées du secteur, avec sept vulnérabilités SD-WAN et pare-feux ajoutées au catalogue de la CISA en moins de trois mois.

Un groupe de menace actif depuis des années

Les chercheurs de Cisco Talos ont attribué ces attaques à un groupe nommé UAT-8616, déjà responsable de l'exploitation de deux autres zero-days dans les logiciels d'infrastructure réseau de Cisco pendant au moins trois ans. Ces activités n'ont été découvertes et signalées qu'en février 2026. Bien que Cisco ait confirmé que les attaques actuelles étaient toujours en cours, l'entreprise n'a pas répondu aux questions sur les origines ou les motivations de ce groupe.

« Nous recommandons vivement aux clients d'appliquer les correctifs disponibles et de suivre les recommandations fournies dans les avis et le blog de Cisco Talos », a déclaré un porte-parole de l'entreprise dans un communiqué.

Une chaîne d'exploitations combinées

Les chercheurs ont également mis en garde contre une combinaison de vulnérabilités exploitées en chaîne par UAT-8616 et au moins dix autres groupes de menace. Ces attaques ont permis une exploitation active et généralisée de trois failles dans l'infrastructure Cisco Catalyst SD-WAN non corrigée. Cisco avait déjà publié des correctifs en février pour ces vulnérabilités, notamment les CVE-2026-20122, CVE-2026-20128 et CVE-2026-20133.

Rapid7 a découvert la faille d'authentification critique en analysant la CVE-2026-20127, une précédente zero-day identifiée et confirmée comme exploitée par UAT-8616 par les Cinq Yeux fin 2025. Les autorités et Cisco ont attendu au moins deux mois avant de divulguer et corriger cette vulnérabilité, tout en partageant des mesures d'atténuation d'urgence. Cette campagne, lancée il y a au moins trois ans, représente la deuxième série de zero-days activement exploités dans les produits Cisco.