Les auteurs de cybermenaces malveillantes ciblent les réseaux SD-WAN (Software-Defined Wide Area Network) utilisés par des organisations partout dans le monde. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité), qui fait partie du Centre de la sécurité des télécommunications Canada (CST), et ses partenaires internationaux encouragent fortement les organisations à agir immédiatement pour s’assurer que leurs réseaux SD-WAN reçoivent les correctifs nécessaires, qu’ils sont renforcés et qu’ils sont renforcés et qu’ils sont examinés afin d’y repérer toute compromission possible.
Veuillez consulter les documents suivants pour obtenir de plus amples renseignements et des recommandations :
- Guide sur la chasse aux cybermenaces contre les réseaux CISCO SD-WAN de l’Australian Cyber Security Centre de l’Australian Signals Directorate (ACSC de l’ASD) (en anglais seulement) (PDF)
- Alerte du Centre pour la cybersécurité concernant cette menace
- Avis du Centre pour la cybersécurité concernant cette menace
- Avis de Cisco concernant cette menace (en anglais seulement)
Le Centre pour la cybersécurité surveille la situation et peut fournir de l’aide et des conseils au besoin. Si vous croyez que votre organisation a été touchée ou qu’elle a besoin d’aide, veuillez communiquer avec nous par courriel contact@cyber.gc.ca ou par téléphone (613-949-7048 ou 1‑833‑CYBER‑88).
Citation
Nous exhortons les organisations canadiennes et les responsables de la défense des réseaux à tenir compte de cet avertissement, à consulter le guide sur la chasse aux cybermenaces et à appliquer les correctifs nécessaires. Les auteurs de cybermenaces malveillantes ciblent des organisations à l’échelle mondiale. La vigilance et la prise de mesures immédiates nous permettront de renforcer nos défenses pour contrer cette menace.
Contexte
Le Centre pour la cybersécurité se joint à l’ACSC et aux partenaires internationaux suivants pour publier un bulletin signalant que des auteurs de cybermenaces malveillantes ciblent les réseaux SD-WAN utilisés par des organisations partout dans le monde :
- le National Cyber Security Centre de la Nouvelle-Zélande (NCSC-NZ);
- le National Cyber Security Centre du Royaume-Uni (NCSC-UK);
- la National Security Agency (NSA) des États Unis;
- la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis.
On a constaté que des auteurs de menace exploitaient la vulnérabilité CVE-2026-20127 pour ajouter un homologue non autorisé malveillant. Ils ont ensuite mené diverses activités pour obtenir un accès racine et maintenir un accès constant à long terme aux réseaux SD-WAN.
Le guide sur la chasse aux cybermenaces de l’ACSC (en anglais seulement) (PDF) a été préparé à partir des observations issues de diverses enquêtes. Il expose en détail les tactiques, techniques et procédures (TTP) utilisées par ces auteurs de menace. Le guide vise à aider les propriétaires de réseaux responsables de la défense à mener des activités de détection et de chasse aux cybermenaces et fournit des conseils en matière d’atténuation afin de réduire le risque des TTP observées.
Conseils en matière d’atténuation
Les organismes ayant rédigé la présente exhortent fortement les responsables de la défense des réseaux à s’assurer que les correctifs nécessaires ont été appliqués intégralement aux réseaux SD-WAN (y compris pour la vulnérabilité CVE-2026-20127) et à chercher des preuves de compromissions présentées dans le guide. Le bulletin exhorte également les organisations à revoir et à mettre en œuvre les directives sur le renforcement des réseaux SD-WAN de Cisco (en anglais seulement).
Afin de réduire les risques pour vos réseaux, il convient de revoir l’ensemble des directives sur le renforcement des réseaux SD-WANde Cisco. Elles contiennent des conseils sur ce qui suit :
- Contrôles des périmètres de réseau : S’assurer que les composants de contrôle sont derrière un pare-feu, isoler les interfaces VPN 512, recourir au blocage d’adresses IP pour les adresses IP en périphérie fournies manuellement.
- Accès pour les gestionnaires de réseaux SD-WAN : Remplacer le certificat autosigné pour l’interface utilisateur Web.
- Contrôle et la sécurité du plan de données : Utiliser la saisie par paire.
- Expiration de la session : Limiter à la période la plus courte possible.
- Journalisation : Transférer à un serveur journal système à distance.
Ressources additionnelles
Pour en savoir plus sur les vulnérabilités, veuillez consulter la page Alertes et avis.
Pour vous renseigner sur les pratiques exemplaires, veuillez consulter la page Conseils sur la cybersécurité.