CERTFR-2026-ALE-002

Vulnerability from certfr_alerte - Published: 2026-02-25 - Updated: 2026-02-26

Une vulnérabilité a été découverte dans Cisco Catalyst SD-WAN. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.

Cisco indique que la vulnérabilité CVE-2026-20127 est activement exploitée.

Recherche de compromission

[Mise à jour du 26 février 2026]

Le CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les éléments documentés par Cisco dans son avis de sécurité et un billet de blogue [1] :

  1. Vérification de la légitimité des événements d'appairage des connexions de contrôle (control connection peering events) :

  2. Un exemple de journal est donné ci-dessous. Les valeurs associées à peer-system-ip et public-ip doivent correspondre à des valeurs attendues par rapport à l'architecture du système d'information et de la configuration SD-WAN. De plus le peer-type doit être cohérent avec l'équipement lié à l'adresse peer-system-ip. L'horodatage de l'événement doit être associé à des périodes de maintenance ou d'administration. 

Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanage peer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005

  • En complément, le CERT-FR conseille de corréler les informations présentes dans ces événements pour identifier des schémas de reconnaissance ou des tentatives d’accès persistantes. Par exemple en regroupant les activités par peer-type et peer-system-ip. Ces journaux peuvent être présents dans /var/log/tmplog/vdebug, /var/log/vsyslog, /var/log/jsyslog ou /var/log/messages.

  • Vérification de l'ajout d'une clé d'authentification SSH pour vmanage-admin :

  • Le compte vmanage-admin est un compte légitime utilisé par le système. Les attaquants sont susceptibles d'avoir ajouté une clé SSH pour ce compte et de l'utiliser pour se connecter à l'équipement.

  • Il est nécessaire de valider que les événements d'authentification liée à l'utilisation d'une clé publique pour le compte vmanage-admin peuvent être reliés à une adresse IP connue et légitime. Ces événements sont notamment listés dans /var/log/auth.log. Un exemple de journal de ce type de connexion est présenté ci-dessous.
    2026-02-10T22:51:36+00:00 vm  sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]

  • La présence de clés inconnues dans /home/vmanage-admin/.ssh/authorized_keys/ est également un indicateur de compromission.

  • Détection de rétrogradation de la version du système :

  • Les attaquants sont susceptibles d'avoir rétrogradé la version du système dans l'optique d'exploiter des vulnérabilités applicables à des versions antérieures, telle que la vulnérabilité CVE‑2022‑20775. La version système est par la suite restaurée.

  • Les journaux suivants sont des indicateurs de rétrogradation :
Waiting for upgrade confirmation from user. Device will revert to previous software version  in '100' seconds unless confirmed.

Software upgrade not confirmed. Reverting to previous software version
  • La présence d'utilisateurs avec des noms anormaux et associés à des attaques de type traversée de chemin (path traversal) peut indiquer la tentative d'exploitation de la vulnérabilité CVE-2022-20775. /../../ et /\n&../\n&../ sont des exemples de ce type d'attaque.

  • Détection de journaux tronqués, effacés ou absents :

  • Les attaquants sont susceptibles d'avoir modifié les journaux pour rendre plus complexe la détection de leurs actions. La présence de journaux de taille anormalement faible (0, 1 ou 2 octets) est un indicateur de compromission.

  • La modification et la suppression d'entrées dans les journaux suivants doivent aussi être vérifiées :
    • syslog
    • wtmp
    • lastlog
    • cli-history
    • bash_history
    • journaux présents dans /var/log/

  • Vérification des activités anormales de certains utilisateurs. Les éléments suivants doivent être étudiés :

  • Création, utilisation et suppression de comptes utilisateurs malveillants, y compris l’absence de bash_history et de cli‑history ;

  • Présence d’un fichier cli‑history pour un utilisateur sans le bash history correspondant ;
  • Sessions root interactives sur des systèmes de production, avec des clés SSH non répertoriées, des known hosts et un historique bash. Par exemple :
  • Clés SSH dans : /home/root/.ssh/authorized_keys avec PermitRootLogin réglé sur yes dans/etc/ssh/sshd_config
  • Known hosts dans : /home/root/.ssh/known_hosts
Notification: system-login-change severity-level:minor host-name:"" system-ip: user-name:""root""

Cisco recommande également de consulter le guide de recherche de compromission rédigé par l'Australian Cyber Security Centre [2] ainsi que le guide de durcissement de Catalyst SD-WAN [3].

En cas de suspicion de compromission consulter les fiches réflexes de compromission d'un équipement de bordure réseau [4][5] et signaler l’événement auprès du CERT-FR.

Solutions

[Publication Initiale]

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Cisco indique que la publication de la version corrective 20.9.8.2 pour Catalyst SD-WAN est prévue le 27 février 2026. Les versions 20.11.x, 20.13.x, 20.14.x et 20.16.x sont affectées par la vulnérabilité mais ne bénéficieront pas de correctifs de sécurité car elles ont atteint la fin de période de maintenance. Le CERT-FR recommande de migrer vers une version maintenue et avec les derniers correctifs de sécurité.

L'éditeur précise aussi que la solution Cisco SD-WAN a été renommée Cisco Catalyst SD-WAN. L'avis éditeur indique également d'autres changements de noms pour les composants de cette solution.

Impacted products
Vendor Product Description
Cisco Catalyst SD-WAN Catalyst SD-WAN versions 20.12.6.x antérieures à 20.12.6.1
Cisco Catalyst SD-WAN Catalyst SD-WAN versions antérieures à 20.9.8.2
Cisco Catalyst SD-WAN Catalyst SD-WAN versions 20.15.x antérieures à 20.15.4.2
Cisco Catalyst SD-WAN Catalyst SD-WAN versions 20.12.5.x antérieures à 20.12.5.3
Cisco Catalyst SD-WAN Catalyst SD-WAN versions 20.18.x antérieures à 20.18.2.1
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Catalyst SD-WAN versions 20.12.6.x ant\u00e9rieures \u00e0 20.12.6.1",
      "product": {
        "name": "Catalyst SD-WAN",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Catalyst SD-WAN versions ant\u00e9rieures \u00e0 20.9.8.2",
      "product": {
        "name": "Catalyst SD-WAN",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Catalyst SD-WAN versions 20.15.x ant\u00e9rieures \u00e0 20.15.4.2",
      "product": {
        "name": "Catalyst SD-WAN",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Catalyst SD-WAN versions 20.12.5.x ant\u00e9rieures \u00e0 20.12.5.3",
      "product": {
        "name": "Catalyst SD-WAN",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    },
    {
      "description": "Catalyst SD-WAN versions 20.18.x ant\u00e9rieures \u00e0 20.18.2.1",
      "product": {
        "name": "Catalyst SD-WAN",
        "vendor": {
          "name": "Cisco",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "Cisco indique que la publication de la version corrective 20.9.8.2 pour Catalyst SD-WAN est pr\u00e9vue le 27 f\u00e9vrier 2026. Les versions 20.11.x, 20.13.x, 20.14.x et 20.16.x sont affect\u00e9es par la vuln\u00e9rabilit\u00e9 mais ne b\u00e9n\u00e9ficieront pas de correctifs de s\u00e9curit\u00e9 car elles ont atteint la fin de p\u00e9riode de maintenance. Le CERT-FR recommande de migrer vers une version maintenue et avec les derniers correctifs de s\u00e9curit\u00e9.\n\nL\u0027\u00e9diteur pr\u00e9cise aussi que la solution Cisco SD-WAN a \u00e9t\u00e9 renomm\u00e9e Cisco Catalyst SD-WAN. L\u0027avis \u00e9diteur indique \u00e9galement d\u0027autres changements de noms pour les composants de cette solution. ",
  "closed_at": null,
  "content": "## Recherche de compromission\n\n\u003cspan class=\"important-content\"\u003e**[Mise \u00e0 jour du 26 f\u00e9vrier 2026]**\u003c/span\u003e\n\nLe CERT-FR recommande d\u0027effectuer une recherche de compromission en s\u0027appuyant sur les \u00e9l\u00e9ments document\u00e9s par Cisco dans son avis de s\u00e9curit\u00e9 et un billet de blogue [1]  : \n\n1. V\u00e9rification de la l\u00e9gitimit\u00e9 des \u00e9v\u00e9nements d\u0027appairage des connexions de contr\u00f4le (*control connection peering events*) :\n   \n* Un exemple de journal est donn\u00e9 ci-dessous. Les valeurs associ\u00e9es \u00e0 `peer-system-ip` et `public-ip` doivent correspondre \u00e0 des valeurs attendues par rapport \u00e0 l\u0027architecture du syst\u00e8me d\u0027information et de la configuration SD-WAN. De plus le `peer-type` doit \u00eatre coh\u00e9rent avec l\u0027\u00e9quipement li\u00e9 \u00e0 l\u0027adresse `peer-system-ip`. L\u0027horodatage de l\u0027\u00e9v\u00e9nement doit \u00eatre associ\u00e9 \u00e0 des p\u00e9riodes de maintenance ou d\u0027administration. \n\u003cpre\u003e\nJul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanage peer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005\n\u003c/pre\u003e\n* En compl\u00e9ment, le CERT-FR conseille de corr\u00e9ler les informations pr\u00e9sentes dans ces \u00e9v\u00e9nements pour identifier des sch\u00e9mas de reconnaissance ou des tentatives d\u2019acc\u00e8s persistantes. Par exemple en regroupant les activit\u00e9s par `peer-type` et `peer-system-ip`. Ces journaux peuvent \u00eatre pr\u00e9sents dans `/var/log/tmplog/vdebug`, `/var/log/vsyslog`, `/var/log/jsyslog` ou `/var/log/messages`.\n\n2. V\u00e9rification de l\u0027ajout d\u0027une cl\u00e9 d\u0027authentification SSH pour `vmanage-admin` :\n\n* Le compte `vmanage-admin` est un compte l\u00e9gitime utilis\u00e9 par le syst\u00e8me. Les attaquants sont susceptibles d\u0027avoir ajout\u00e9 une cl\u00e9 SSH pour ce compte et de l\u0027utiliser pour se connecter \u00e0 l\u0027\u00e9quipement. \n* Il est n\u00e9cessaire de valider que les \u00e9v\u00e9nements d\u0027authentification li\u00e9e \u00e0 l\u0027utilisation d\u0027une cl\u00e9 publique pour le compte `vmanage-admin` peuvent \u00eatre reli\u00e9s \u00e0 une adresse IP connue et l\u00e9gitime. Ces \u00e9v\u00e9nements sont notamment list\u00e9s dans `/var/log/auth.log`. Un exemple de journal de ce type de connexion est pr\u00e9sent\u00e9 ci-dessous.\n\u003cpre\u003e\n    2026-02-10T22:51:36+00:00 vm  sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]\n\u003c/pre\u003e\n* La pr\u00e9sence de cl\u00e9s inconnues dans `/home/vmanage-admin/.ssh/authorized_keys/` est \u00e9galement un indicateur de compromission.\n\n3. D\u00e9tection de r\u00e9trogradation de la version du syst\u00e8me :\n\n* Les attaquants sont susceptibles d\u0027avoir r\u00e9trograd\u00e9 la version du syst\u00e8me dans l\u0027optique d\u0027exploiter des vuln\u00e9rabilit\u00e9s applicables \u00e0 des versions ant\u00e9rieures, telle que la vuln\u00e9rabilit\u00e9 CVE\u20112022\u201120775. La version syst\u00e8me est par la suite restaur\u00e9e.\n* Les journaux suivants sont des indicateurs de r\u00e9trogradation :\n\u003cpre\u003e\nWaiting for upgrade confirmation from user. Device will revert to previous software version \u003cversion\u003e in \u0027100\u0027 seconds unless confirmed.\n\u003c/pre\u003e\n\u003cpre\u003e\nSoftware upgrade not confirmed. Reverting to previous software version\n\u003c/pre\u003e\n* La pr\u00e9sence d\u0027utilisateurs avec des noms anormaux et associ\u00e9s \u00e0 des attaques de type travers\u00e9e de chemin (*path traversal*) peut indiquer la tentative d\u0027exploitation de la vuln\u00e9rabilit\u00e9 CVE-2022-20775.  `/../../` et `/\\n\u0026../\\n\u0026../` sont des exemples de ce type d\u0027attaque. \n4. D\u00e9tection de journaux tronqu\u00e9s, effac\u00e9s ou absents :\n\n* Les attaquants sont susceptibles d\u0027avoir modifi\u00e9 les journaux pour rendre plus complexe la d\u00e9tection de leurs actions. La pr\u00e9sence de journaux de taille anormalement faible (0, 1 ou 2 octets) est un indicateur de compromission.\n* La modification et la suppression d\u0027entr\u00e9es dans les journaux suivants doivent aussi \u00eatre v\u00e9rifi\u00e9es : \n     * `syslog`\n     * `wtmp`\n     * `lastlog`\n     * `cli-history`\n     * `bash_history`\n     * journaux pr\u00e9sents dans `/var/log/`\n5. V\u00e9rification des activit\u00e9s anormales de certains utilisateurs. Les \u00e9l\u00e9ments suivants doivent \u00eatre \u00e9tudi\u00e9s :\n\n* Cr\u00e9ation, utilisation et suppression de comptes utilisateurs malveillants, y compris l\u2019absence de `bash_history` et de `cli\u2011history` ; \n* Pr\u00e9sence d\u2019un fichier `cli\u2011history` pour un utilisateur sans le bash history correspondant ; \n* Sessions root interactives sur des syst\u00e8mes de production, avec des cl\u00e9s SSH non r\u00e9pertori\u00e9es, des known hosts et un historique bash. Par exemple\u202f:\n   * Cl\u00e9s SSH dans\u202f:   `/home/root/.ssh/authorized_keys` avec `PermitRootLogin` r\u00e9gl\u00e9 sur `yes` dans`/etc/ssh/sshd_config`\n   * Known hosts dans\u202f: `/home/root/.ssh/known_hosts`\n\u003cpre\u003e\nNotification: system-login-change severity-level:minor host-name:\"\u003cnode_name\u003e\" system-ip:\u003cIP\u003e user-name:\"\"root\"\"\n\u003c/pre\u003e\n\nCisco recommande \u00e9galement de consulter le guide de recherche de compromission r\u00e9dig\u00e9 par l\u0027Australian Cyber Security Centre [2] ainsi que le guide de durcissement de Catalyst SD-WAN [3].\n\nEn cas de suspicion de compromission consulter les fiches r\u00e9flexes de compromission d\u0027un \u00e9quipement de bordure r\u00e9seau [4][5] et signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR.\n\n## Solutions\n\n**[Publication Initiale]**\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).",
  "cves": [
    {
      "name": "CVE-2026-20127",
      "url": "https://www.cve.org/CVERecord?id=CVE-2026-20127"
    },
    {
      "name": "CVE-2022-20775",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-20775"
    }
  ],
  "initial_release_date": "2026-02-25T00:00:00",
  "last_revision_date": "2026-02-26T00:00:00",
  "links": [
    {
      "title": "[3] Guide de durcissement de Catalyst SD-WAN",
      "url": "https://sec.cloudapps.cisco.com/security/center/resources/Cisco-Catalyst-SD-WAN-HardeningGuide"
    },
    {
      "title": "[2] Cisco SD-WAN Threat hunt guide, version 2.4 du 25 f\u00e9vrier 2026",
      "url": "https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf"
    },
    {
      "title": "[1] Billet de blogue de Cisco Talos du 25 f\u00e9vrier 2026 relatif \u00e0 l\u0027exploitation de vuln\u00e9rabilit\u00e9s dans Catalyst SD-WAN",
      "url": "https://blog.talosintelligence.com/uat-8616-sd-wan/"
    },
    {
      "title": "[4] Compromission d\u0027un \u00e9quipement de bordure r\u00e9seau - Qualification",
      "url": "https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/"
    },
    {
      "title": "Avis CERTFR-2026-AVI-0210",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0210/"
    },
    {
      "title": "[5] Compromission d\u0027un \u00e9quipement de bordure r\u00e9seau - Endiguement",
      "url": "https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/ "
    }
  ],
  "reference": "CERTFR-2026-ALE-002",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2026-02-25T00:00:00.000000"
    },
    {
      "description": "Ajout de compl\u00e9ments li\u00e9s \u00e0 la recherche de compromission",
      "revision_date": "2026-02-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Cisco Catalyst SD-WAN. Elle permet \u00e0 un attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.\n\nCisco indique que la vuln\u00e9rabilit\u00e9 CVE-2026-20127 est activement exploit\u00e9e.",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Cisco Catalyst SD-WAN",
  "vendor_advisories": [
    {
      "published_at": "2026-02-25",
      "title": "Bulletin de s\u00e9curit\u00e9 Cisco",
      "url": "https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.