Numéro : AL26-004
Date : 25 février 2026
Auditoire
La présente alerte s'adresse aux professionnelles et professionnels des TI et aux gestionnaires.
Objet
Une alerte vise à sensibiliser les destinataires à une cybermenace récemment relevée pouvant toucher les biens d’information électroniques et à fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) peut offrir une assistance supplémentaire aux destinataires qui en font la demande.
Détails
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) est au courant d’exploitation active d’une vulnérabilité touchant les réseaux étendus à définition logicielle (SD-WAN) de Cisco CatalystNote de bas de page 1Note de bas de page 2. En réponse à l’avis de sécurité de Cisco communiqué le 25 février 2026Note de bas de page 3, le Centre pour la cybersécurité a publié le bulletin de sécurité AV26-166Note de bas de page 4 le 25 février 2026.
Publiée sous le numéro CVE-2026-20127Note de bas de page 5, cette vulnérabilité critique d’authentification inadéquate (CWE-287)Note de bas de page 6 affecte le processus d’authentification d’appairage dans les produits produit Cisco Catalyst SD-WAN Controller (SD-WAN vSmart anciennement) et Cisco Catalyst SD-WAN Manager (SD-WAN vManage anciennement). Celle-ci pourrait permettre à un attaquant à distance et non authentifié de contourner les mécanismes d’authentification et d’obtenir des privilèges d’administration sur un système touché, quelle que soit la configuration des instances.
Les instances Cisco Catalyst SD-WAN qui ont une interface de gestion ou de contrôle exposée à internet et avec des ports exposés sont à risque d’exploitation.
Cette vulnérabilité touche les types de déploiement suivants :
- déploiement local;
- SD-WAN en nuage hébergé par Cisco - géré par Cisco;
- SD-WAN en nuage hébergé par Cisco - environnement FedRAMP;
- SD-WAN en nuage hébergé par Cisco.
Le Centre pour la cybersécurité est au courant d’incidents impliquant la vulnérabilité CVE-2026-20127. Les rapports indiquent que des pairs malveillants ont été ajoutées aux configurations d’instances Cisco Catalyst SD-WAN d’organisations affectées. Ceci permet de mener toute une gamme d’activités par la suite, comme obtenir un accès administratif et un accès persistant à long terme aux réseaux SD-WAN.
Mesures recommandées
Le Centre pour la cybersécurité recommande aux organisations de mettre à niveau les instances Cisco Catalyst SD-WAN touchées à une version corrigée :
| Produits touchés | Versions touchées | Versions corrigées |
|---|---|---|
| Cisco Catalyst SD_WAN Release | Inférieures à 20.9Note de bas de page * | Migrer vers une version corrigée |
| Cisco Catalyst SD_WAN Release | 20.9 | 20.9.8.2 (diffusion prévue le 27 février 2026) |
| Cisco Catalyst SD_WAN Release | 20.11Note de bas de page * | 20.12.6.1 |
| Cisco Catalyst SD_WAN Release | 20.12.5 | 20.12.5.3 |
| Cisco Catalyst SD_WAN Release | 20.12.6 | 20.12.6.1 |
| Cisco Catalyst SD_WAN Release | 20.13Note de bas de page * | 20.15.4.2 |
| Cisco Catalyst SD_WAN Release | 20.14Note de bas de page * | 20.15.4.2 |
| Cisco Catalyst SD_WAN Release | 20.15 | 20.15.4.2 |
| Cisco Catalyst SD_WAN Release | 20.16Note de bas de page * | 20.18.2.1 |
| Cisco Catalyst SD_WAN Release | 20.18 | 20.18.2.1 |
Le Centre pour la cybersécurité recommande également aux organisations de prendre les mesures suivantes :
- recueillir des artéfacts, y compris des journaux et instantanés virtuels des technologies SD-WAN;
- corriger entièrement les technologies SD-WAN, y compris les instances touchées par la vulnérabilité CVE-2026-20127;
- traquer les preuves de compromission, tel qu’il est énoncé dans le guide de chasse (Hunt Guide)Note de bas de page 7;
- mettre en œuvre les conseils sur le renforcement de Cisco SD-WANNote de bas de page 8.
Les organisations devraient lire au complet le document de conseils sur le renforcement de Cisco Catalyst SD-WAN. Il contient des conseils concernant les aspects suivants :
- Contrôles du périmètre réseau : s’assurer que les composants de contrôle sont derrière un pare-feu, isoler les interfaces VPN 512 (gestion) et utiliser des mécanismes de blocage d’adresses IP pour les adresses IP de dispositifs d’accès fournis manuellement.
- Accès du gestionnaire SD-WAN : remplacer le certificat autosigné pour l’interface utilisateur Web.
- Sécurité des plans de contrôle et de données : utiliser un chiffrement par paire de clés.
- Expiration de session : régler ce paramètre à la période la plus courte possible.
- Journalisation : acheminer les journaux à un serveur distant.
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de passer en revue et de mettre en œuvre ses 10 mesures de sécurité des TI, en mettant l’accent sur ce qui suitNote de bas de page 9 :
- intégrer, surveiller et défendre les passerelles Internet;
- appliquer des correctifs aux applications et aux systèmes d’exploitation;
- renforcer les systèmes d’exploitation et les applications;
- isoler les applications Web.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.