Objet: [MàJ] Vulnérabilité dans Cisco Catalyst SD-WAN

Résumé

Une vulnérabilité a été découverte dans Cisco Catalyst SD-WAN. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.

Cisco indique que la vulnérabilité CVE-2026-20127 est activement exploitée.

Recherche de compromission

[Mise à jour du 26 février 2026]

Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par Cisco dans son avis de sécurité et un billet de blogue [1] :

1. Vérification de la légitimité des événements d'appairage des connexions de contrôle (control connection peering events) :

• Un exemple de journal est donné ci-dessous. Les valeurs associées à peer-system-ip et public-ip doivent correspondre à des valeurs attendues par rapport à l'architecture du système d'information et de la configuration SD-WAN. De plus le peer-type doit être cohérent avec l'équipement lié à l'adresse peer-system-ip. L'horodatage de l'événement doit être associé à des périodes de maintenance ou d'administration.

Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanage peer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005

• En complément, le CERT-FR conseille de corréler les informations présentes dans ces événements pour identifier des schémas de reconnaissance ou des tentatives d’accès persistantes. Par exemple en regroupant les activités par peer-type et peer-system-ip. Ces journaux peuvent être présents dans /var/log/tmplog/vdebug, /var/log/vsyslog, /var/log/jsyslog ou /var/log/messages.

2. Vérification de l'ajout d'une clé d'authentification SSH pour vmanage-admin :

• Le compte vmanage-admin est un compte légitime utilisé par le système. Les attaquants sont susceptibles d'avoir ajouté une clé SSH pour ce compte et de l'utiliser pour se connecter à l'équipement.
• Il est nécessaire de valider que les événements d'authentification liée à l'utilisation d'une clé publique pour le compte vmanage-admin peuvent être reliés à une adresse IP connue et légitime. Ces événements sont notamment listés dans /var/log/auth.log. Un exemple de journal de ce type de connexion est présenté ci-dessous.

    2026-02-10T22:51:36+00:00 vm  sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]

• La présence de clés inconnues dans /home/vmanage-admin/.ssh/authorized_keys/ est également un indicateur de compromission.

3. Détection de rétrogradation de la version du système :

• Les attaquants sont susceptibles d'avoir rétrogradé la version du système dans l'optique d'exploiter des vulnérabilités applicables à des versions antérieures, telle que la vulnérabilité CVE‑2022‑20775. La version système est par la suite restaurée.
• Les journaux suivants sont des indicateurs de rétrogradation :

Waiting for upgrade confirmation from user. Device will revert to previous software version  in '100' seconds unless confirmed.

Software upgrade not confirmed. Reverting to previous software version

• La présence d'utilisateurs avec des noms anormaux et associés à des attaques de type traversée de chemin (path traversal) peut indiquer la tentative d'exploitation de la vulnérabilité CVE-2022-20775. /../../ et /\n&../\n&../ sont des exemples de ce type d'attaque.

4. Détection de journaux tronqués, effacés ou absents :

• Les attaquants sont susceptibles d'avoir modifié les journaux pour rendre plus complexe la détection de leurs actions. La présence de journaux de taille anormalement faible (0, 1 ou 2 octets) est un indicateur de compromission.
• La modification et la suppression d'entrées dans les journaux suivants doivent aussi être vérifiées :
  • syslog
  • wtmp
  • lastlog
  • cli-history
  • bash_history
  • journaux présents dans /var/log/

5. Vérification des activités anormales de certains utilisateurs. Les éléments suivants doivent être étudiés :

• Création, utilisation et suppression de comptes utilisateurs malveillants, y compris l’absence de bash_history et de cli‑history ;
• Présence d’un fichier cli‑history pour un utilisateur sans le bash history correspondant ;
• Sessions root interactives sur des systèmes de production, avec des clés SSH non répertoriées, des known hosts et un historique bash. Par exemple :
  • Clés SSH dans : /home/root/.ssh/authorized_keys avec PermitRootLogin réglé sur yes dans/etc/ssh/sshd_config
  • Known hosts dans : /home/root/.ssh/known_hosts

Notification: system-login-change severity-level:minor host-name:"" system-ip: user-name:""root""

Cisco recommande également de consulter le guide de recherche de compromission rédigé par l'Australian Cyber Security Centre [2] ainsi que le guide de durcissement de Catalyst SD-WAN [3].

En cas de suspicion de compromission consulter les fiches réflexes de compromission d'un équipement de bordure réseau [4][5] et signaler l’événement auprès du CERT-FR.

Solutions

[Publication Initiale]

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).