Numéro : AL26-012
Date : 15 mai 2026
Auditoire
La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI.
Objet
Une alerte vise à sensibiliser les destinataires à une cybermenace récemment relevée pouvant toucher les biens d'information électroniques et à fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) peut offrir une assistance supplémentaire aux destinataires qui en font la demande.
Détails
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) est au courant de cas d’exploitation activeNote de bas de page 1Note de bas de page 2 d’une vulnérabilité touchant les dispositifs de réseau étendu à définition logicielle (SD-WAN) de Cisco Catalyst Note de bas de page 3. En réponse au bulletin de sécurité de Cisco communiqué le 14 mai 2026Note de bas de page 4, le Centre pour la cybersécurité a publié le bulletin de sécurité AV26‑471Note de bas de page 5 le 14 mai 2026.
Publiée sous le numéro CVE-2026-20182Note de bas de page 6, cette vulnérabilité critique d’authentification incorrecte (CWE-287)Note de bas de page 7 touche le processus d’authentification par appairage du produit Cisco Catalyst SD-WAN Controller (anciennement SD-WAN vSmart) et du produit Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage). L’exploitation de cette vulnérabilité pourrait permettre à un attaquant à distance et non authentifié de contourner les mécanismes d’authentification, d’élever les privilèges et d’obtenir des privilèges d’administration sur les systèmes touchés.
Les systèmes Cisco Catalyst SD-WAN Controller accessibles à partir d’Internet, particulièrement ceux dont les ports réseau sont exposés, font face à des risques de compromission.
Cette vulnérabilité touche les produits Cisco Catalyst SD-WAN Controller et Cisco Catalyst SD-WAN Manager, quelle que soit la configuration des dispositifs. Elle touche tous les types de déploiement, y compris les suivants :
- déploiement local;
- Cisco SD-WAN Cloud-Pro;
- Cisco SD-WAN Cloud - géré par Cisco;
- Cisco SD-WAN for Government - environnement FedRAMP.
Le Centre pour la cybersécurité est au courant d’incidents liés à CVE-2026-20182. Des tentatives d’ajout de clés SSH, de modification de configurations liées au protocole NETCONF et d’élévation des privilèges racines ont entre autres été signalées, lesquelles ont permis aux attaquants de mener toute une gamme d’activités par la suite, comme l’obtention d’un accès administratif ou d’un accès persistant à long terme aux réseaux SD-WAN.
Cisco a également noté l’exploitation continue des vulnérabilités CVE-2026-20133, CVE-2026-20128 et CVE-2026-20122 touchant Cisco Catalyst SD-WAN qui avaient été signalées en février 2026Note de bas de page 8. Le Centre pour la cybersécurité avait alors publié l’alerte AL26-004Note de bas de page 9.
Mesures recommandées
Le Centre pour la cybersécurité recommande aux organisations de mettre à niveau les instances Cisco Catalyst SD-WAN touchées à une version corrigée :
| Produits touché | Version touchée | Solution |
|---|---|---|
| Cisco Catalyst SD-WAN | Versions antérieures à 20.9Footnote * | Migrer vers une version corrigée |
| Cisco Catalyst SD-WAN | 20.9 | 20.9.9.1 |
| Cisco Catalyst SD-WAN | 20.10 | 20.12.7.1 |
| Cisco Catalyst SD-WAN | 20.11Footnote * | 20.12.7.1 |
| Cisco Catalyst SD-WAN | 20.12 | 20.12.5.4 20.12.6.2 20.12.7.1 |
| Cisco Catalyst SD-WAN | 20.13Footnote * | 20.15.5.2 |
| Cisco Catalyst SD-WAN | 20.14Footnote * | 20.15.5.2 |
| Cisco Catalyst SD-WAN | 20.15 | 20.15.4.4 20.15.5.2 |
| Cisco Catalyst SD-WAN | 20.16Footnote * | 20.18.2.2 |
| Cisco Catalyst SD-WAN | 20.18Footnote * | 20.18.2.2 |
| Cisco Catalyst SD-WAN | 26.1 | 26.1.1.1 |
Cisco a également corrigé cette vulnérabilité dans la version 20.15.506 de Cisco SD-WAN Cloud (géré par Cisco), qui est en nuage. Aucune mesure n’est requise de la part des utilisatrices et utilisateurs. Les clientes et clients peuvent déterminer la version logicielle ou l’état de la correction des défauts en utilisant la fonction d’aide dans l’interface utilisateur graphique (IUG) du serviceNote de bas de page 4.
Le Centre pour la cybersécurité recommande également aux organisations de prendre les mesures suivantes :
- passer en revue le bulletin de CiscoNote de bas de page 4 et l’article de Talos IntelligenceNote de bas de page 1 pour déterminer la présence d’indicateurs de compromission sur leurs dispositifs;
- exécuter la commande request admin-tech à partir de chacun des composants de contrôle dans le déploiement SD-WAN avant la mise à niveauNote de bas de page 4Note de bas de page 10, dans le but de préserver les indicateurs de compromission possibles, tel que Cisco l’a indiqué;
- recueillir des artéfacts, y compris des journaux et instantanés virtuels des technologies SD-WAN;
- mettre à jour entièrement les technologies SD-WAN, y compris les instances touchées par la vulnérabilité CVE-2026-20182;
- mettre en œuvre les recommandations du guide de renforcement de la sécurité de Cisco SD-WANNote de bas de page 11.
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de passer en revue et de mettre en œuvre ses 10 mesures de sécurité des TI, en mettant l’accent sur ce qui suitNote de bas de page 12 :
- intégrer, surveiller et défendre les passerelles Internet;
- appliquer des correctifs aux applications et aux systèmes d’exploitation;
- renforcer les systèmes d’exploitation et les applications;
- isoler les applications Web.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.