NIS2 50+ salariés ou €10M+ CA : reporting d’incident en 72h obligatoire. Reporting d’incident en 72h obligatoire. Êtes-vous prêt ? →
Skip to main contentSkip to footer
ucyber-ai-logo
Essai 60jConsole

Cisco SD-WAN CVE-2026-20245 : mitiger sans patch

Par ucyber · Publié le · Tuto

La Cisco SD-WAN CVE-2026-20245 est officiellement exploitée dans la nature sans correctif disponible : si votre PME-ETI opère un Cisco Catalyst SD-WAN Manager en production, ce tutoriel vous guide étape par étape pour mitiger Cisco SD-WAN sans patch, fermer la surface d’attaque exposée et préparer la bascule dès la publication de l’avis vendeur. C’est un guide opérationnel pensé pour les équipes IT sous-staffées qui doivent agir aujourd’hui.

Cisco SD-WAN CVE-2026-20245 : ce que vous devez savoir avant d’agir

Le 6 juin 2026, The Hacker News confirme l’exploitation active de la CVE-2026-20245 sur le composant Cisco Catalyst SD-WAN Manager (anciennement vManage). Cisco a publié un avis de sécurité, mais aucun correctif officiel n’est encore disponible. Les premières observations terrain pointent vers une compromission du plan de contrôle SD-WAN, c’est-à-dire le composant qui distribue les politiques de routage et de sécurité à l’ensemble du fabric. Une compromission du Manager équivaut à un contrôle total du réseau multi-sites.

Pourquoi cette faille est critique pour les PME-ETI

  • Plan de contrôle exposé : le SD-WAN Manager pilote l’intégralité du fabric — sites distants, datacenters, branches commerciales.
  • Aucun patch disponible : la fenêtre d’exposition est ouverte tant que Cisco n’a pas livré la correction.
  • Exploitation active confirmée : il ne s’agit pas d’un PoC théorique, des attaques sont en cours.
  • Surface souvent exposée Internet : beaucoup de déploiements PME-ETI publient l’interface d’administration sur Internet pour faciliter la gestion à distance.

Étape 1 — Identifier votre exposition Cisco SD-WAN Manager

Premier réflexe pour mitiger Cisco SD-WAN : confirmer si vous êtes concerné. Vérifiez immédiatement les éléments suivants :

  • Version installée : connectez-vous au SD-WAN Manager et notez la version exacte (Menu Administration → Settings → Maintenance → Software Upgrade).
  • Mode de déploiement : on-premises, hosted Cisco, ou cloud (AWS/Azure) — chaque mode a des contraintes de mitigation différentes.
  • Exposition réseau : depuis Internet, lancez nmap -sV -p 443,830,8443 votre-manager.exemple.fr pour confirmer ce qui est joignable publiquement.
  • Comptes administrateurs : exportez la liste des comptes admin et MFA actifs via Administration → Manage Users.

Vérifier l’accès distant

Sur le réseau du Manager, exécutez : ss -tlnp | grep -E '443|830|8443'. Si les ports d’administration sont ouverts vers 0.0.0.0, votre exposition est maximale.

Étape 2 — Mitigations immédiates sans patch

Sans correctif officiel, l’objectif est de réduire la surface d’attaque au strict nécessaire. Voici les actions à mener dans les 4 heures suivant la détection.

Restreindre l’accès réseau au plan d’administration

  • Bloquer toute exposition Internet du SD-WAN Manager. Mettez-le derrière un VPN obligatoire (IPsec ou WireGuard).
  • Filtrer par IP source : sur le firewall périmétrique ou le NSX/Edge, autorisez uniquement les IPs publiques de vos administrateurs (jump host bastion inclus).
  • Désactiver les API publiques non utilisées : Administration → Settings → REST API → Disable pour les endpoints non critiques.

Durcir les comptes et l’authentification

  • Forcer la MFA sur tous les comptes administrateurs (RADIUS + TOTP recommandé).
  • Désactiver les comptes locaux par défaut non utilisés (admin, root local).
  • Réduire la durée des sessions à 15 minutes maximum.
  • Auditer les comptes créés dans les 30 derniers jours et révoquer ceux non identifiés.

Activer la collecte exhaustive de logs

Configurez le SD-WAN Manager pour envoyer ses logs vers votre SIEM (Wazuh, Splunk, etc.). Activez en priorité :

  • Audit log : toutes les actions admin (création de comptes, modification de politiques).
  • API access log : appels aux endpoints REST.
  • Authentication log : tentatives d’authentification réussies et échouées.

Étape 3 — Détecter une compromission éventuelle

Un attaquant ayant exploité la CVE-2026-20245 aura probablement créé des comptes persistants ou modifié des politiques de routage. Vérifiez ces indicateurs de compromission (IOCs) :

  • Nouveaux comptes administrateurs non documentés dans les 14 derniers jours.
  • Politiques de routage modifiées sans ticket de change associé.
  • Templates de configuration contenant des références à des serveurs C2 inconnus.
  • Connexions SSH/HTTPS sortantes du Manager vers des IPs externes inhabituelles.
  • Tâches planifiées non documentées dans le cron du Manager.

Commandes utiles pour l’investigation

Depuis le shell du Manager (vshell puis shell) :

  • cat /var/log/nms/vmanage-server.log | grep -i "login successful" — historique des connexions.
  • journalctl -u vmanage --since "7 days ago" | grep -i "user created" — création de comptes récents.
  • netstat -anp | grep ESTABLISHED — connexions actives suspectes.

Étape 4 — Préparer la bascule vers le patch

Dès que Cisco publiera le correctif officiel pour la CVE-2026-20245, votre PME-ETI doit pouvoir patcher en moins de 24 heures. Préparez dès maintenant :

  • Snapshot pre-patch du Manager (VM ou appliance physique).
  • Plan de rollback documenté et testé sur l’environnement de pré-production.
  • Fenêtre de maintenance pré-validée auprès des métiers (idéalement nuit ou week-end).
  • Souscription aux PSIRT Cisco pour être notifié dès la publication de l’avis (Cisco Security Advisories).

Étape 5 — Industrialiser la résilience SD-WAN

Au-delà de cette CVE spécifique, la CVE-2026-20245 Cisco SD-WAN rappelle qu’un plan de contrôle réseau exposé est un point de défaillance majeur pour toute PME-ETI. Trois chantiers à lancer dans les 30 jours :

  • Bastion d’administration dédié : tous les accès admin réseau passent par un jump host avec MFA, logging exhaustif et session recording.
  • Segmentation du plan de gestion : VLAN dédié, ACL strictes, aucune route directe depuis le réseau utilisateur.
  • Veille CVE automatisée : intégrez votre inventaire Cisco dans un outil de veille (CISA KEV, NVD, PSIRT) avec alertes Slack/Teams temps réel.

Pour aller plus loin sur la gestion d’urgence des CVE critiques en environnement Cisco, consultez notre guide récent sur Cisco SD-WAN CVE-2026-20182 et notre analyse de la CVE Oracle WebLogic ajoutée au KEV.

Conclusion : mitiger Cisco SD-WAN aujourd’hui, patcher dès demain

La Cisco SD-WAN CVE-2026-20245 exploitée sans patch disponible est exactement le scénario que les équipes IT de PME-ETI redoutent. La bonne nouvelle : les mitigations décrites dans ce tutoriel — restriction réseau, MFA généralisée, audit des comptes, collecte SIEM — réduisent drastiquement la surface d’attaque même sans correctif vendeur. La mauvaise : tant que Cisco n’aura pas publié le patch, votre Manager reste un trophée pour tout attaquant motivé. L’équipe ucyber.ai peut auditer votre exposition SD-WAN et vous accompagner sur la mise en place d’un bastion d’administration durci.

Sources

Renforcez dès maintenant la cybersécurité de votre PME ou ETI avec ucyber.ai.
Évaluez votre niveau de sécurité ou
contactez-nous pour en savoir plus.
Suivez-nous sur LinkedIn.

Ce site utilise des cookies afin d’améliorer votre expérience. En poursuivant votre navigation sur ce site, vous acceptez leur utilisation. Politique de confidentialité
Réserver 15 min — diagnostic