{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Catalyst SD-WAN versions 20.12.6.x ant\u00e9rieures \u00e0 20.12.6.1","product":{"name":"Catalyst SD-WAN","vendor":{"name":"Cisco","scada":false}}},{"description":"Catalyst SD-WAN versions ant\u00e9rieures \u00e0 20.9.8.2","product":{"name":"Catalyst SD-WAN","vendor":{"name":"Cisco","scada":false}}},{"description":"Catalyst SD-WAN versions 20.15.x ant\u00e9rieures \u00e0 20.15.4.2","product":{"name":"Catalyst SD-WAN","vendor":{"name":"Cisco","scada":false}}},{"description":"Catalyst SD-WAN versions 20.12.5.x ant\u00e9rieures \u00e0 20.12.5.3","product":{"name":"Catalyst SD-WAN","vendor":{"name":"Cisco","scada":false}}},{"description":"Catalyst SD-WAN versions 20.18.x ant\u00e9rieures \u00e0 20.18.2.1","product":{"name":"Catalyst SD-WAN","vendor":{"name":"Cisco","scada":false}}}],"affected_systems_content":"Cisco indique que la publication de la version corrective 20.9.8.2 pour Catalyst SD-WAN est pr\u00e9vue le 27 f\u00e9vrier 2026. Les versions 20.11.x, 20.13.x, 20.14.x et 20.16.x sont affect\u00e9es par la vuln\u00e9rabilit\u00e9 mais ne b\u00e9n\u00e9ficieront pas de correctifs de s\u00e9curit\u00e9 car elles ont atteint la fin de p\u00e9riode de maintenance. Le CERT-FR recommande de migrer vers une version maintenue et avec les derniers correctifs de s\u00e9curit\u00e9.\n\nL'\u00e9diteur pr\u00e9cise aussi que la solution Cisco SD-WAN a \u00e9t\u00e9 renomm\u00e9e Cisco Catalyst SD-WAN. L'avis \u00e9diteur indique \u00e9galement d'autres changements de noms pour les composants de cette solution. ","closed_at":"2026-03-26","content":"## Recherche de compromission\n\n<span class=\"important-content\">**[Mise \u00e0 jour du 26 f\u00e9vrier 2026]**</span>\n\nLe CERT-FR recommande d'effectuer une recherche de compromission en s'appuyant sur les \u00e9l\u00e9ments document\u00e9s par Cisco dans son avis de s\u00e9curit\u00e9 et un billet de blogue [1]  : \n\n1. V\u00e9rification de la l\u00e9gitimit\u00e9 des \u00e9v\u00e9nements d'appairage des connexions de contr\u00f4le (*control connection peering events*) :\n   \n* Un exemple de journal est donn\u00e9 ci-dessous. Les valeurs associ\u00e9es \u00e0 `peer-system-ip` et `public-ip` doivent correspondre \u00e0 des valeurs attendues par rapport \u00e0 l'architecture du syst\u00e8me d'information et de la configuration SD-WAN. De plus le `peer-type` doit \u00eatre coh\u00e9rent avec l'\u00e9quipement li\u00e9 \u00e0 l'adresse `peer-system-ip`. L'horodatage de l'\u00e9v\u00e9nement doit \u00eatre associ\u00e9 \u00e0 des p\u00e9riodes de maintenance ou d'administration. \n<pre>\nJul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanage peer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005\n</pre>\n* En compl\u00e9ment, le CERT-FR conseille de corr\u00e9ler les informations pr\u00e9sentes dans ces \u00e9v\u00e9nements pour identifier des sch\u00e9mas de reconnaissance ou des tentatives d\u2019acc\u00e8s persistantes. Par exemple en regroupant les activit\u00e9s par `peer-type` et `peer-system-ip`. Ces journaux peuvent \u00eatre pr\u00e9sents dans `/var/log/tmplog/vdebug`, `/var/log/vsyslog`, `/var/log/jsyslog` ou `/var/log/messages`.\n\n2. V\u00e9rification de l'ajout d'une cl\u00e9 d'authentification SSH pour `vmanage-admin` :\n\n* Le compte `vmanage-admin` est un compte l\u00e9gitime utilis\u00e9 par le syst\u00e8me. Les attaquants sont susceptibles d'avoir ajout\u00e9 une cl\u00e9 SSH pour ce compte et de l'utiliser pour se connecter \u00e0 l'\u00e9quipement. \n* Il est n\u00e9cessaire de valider que les \u00e9v\u00e9nements d'authentification li\u00e9e \u00e0 l'utilisation d'une cl\u00e9 publique pour le compte `vmanage-admin` peuvent \u00eatre reli\u00e9s \u00e0 une adresse IP connue et l\u00e9gitime. Ces \u00e9v\u00e9nements sont notamment list\u00e9s dans `/var/log/auth.log`. Un exemple de journal de ce type de connexion est pr\u00e9sent\u00e9 ci-dessous.\n<pre>\n    2026-02-10T22:51:36+00:00 vm  sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]\n</pre>\n* La pr\u00e9sence de cl\u00e9s inconnues dans `/home/vmanage-admin/.ssh/authorized_keys/` est \u00e9galement un indicateur de compromission.\n\n3. D\u00e9tection de r\u00e9trogradation de la version du syst\u00e8me :\n\n* Les attaquants sont susceptibles d'avoir r\u00e9trograd\u00e9 la version du syst\u00e8me dans l'optique d'exploiter des vuln\u00e9rabilit\u00e9s applicables \u00e0 des versions ant\u00e9rieures, telle que la vuln\u00e9rabilit\u00e9 CVE\u20112022\u201120775. La version syst\u00e8me est par la suite restaur\u00e9e.\n* Les journaux suivants sont des indicateurs de r\u00e9trogradation :\n<pre>\nWaiting for upgrade confirmation from user. Device will revert to previous software version <version> in '100' seconds unless confirmed.\n</pre>\n<pre>\nSoftware upgrade not confirmed. Reverting to previous software version\n</pre>\n* La pr\u00e9sence d'utilisateurs avec des noms anormaux et associ\u00e9s \u00e0 des attaques de type travers\u00e9e de chemin (*path traversal*) peut indiquer la tentative d'exploitation de la vuln\u00e9rabilit\u00e9 CVE-2022-20775.  `/../../` et `/\\n&../\\n&../` sont des exemples de ce type d'attaque. \n4. D\u00e9tection de journaux tronqu\u00e9s, effac\u00e9s ou absents :\n\n* Les attaquants sont susceptibles d'avoir modifi\u00e9 les journaux pour rendre plus complexe la d\u00e9tection de leurs actions. La pr\u00e9sence de journaux de taille anormalement faible (0, 1 ou 2 octets) est un indicateur de compromission.\n* La modification et la suppression d'entr\u00e9es dans les journaux suivants doivent aussi \u00eatre v\u00e9rifi\u00e9es : \n     * `syslog`\n     * `wtmp`\n     * `lastlog`\n     * `cli-history`\n     * `bash_history`\n     * journaux pr\u00e9sents dans `/var/log/`\n5. V\u00e9rification des activit\u00e9s anormales de certains utilisateurs. Les \u00e9l\u00e9ments suivants doivent \u00eatre \u00e9tudi\u00e9s :\n\n* Cr\u00e9ation, utilisation et suppression de comptes utilisateurs malveillants, y compris l\u2019absence de `bash_history` et de `cli\u2011history` ; \n* Pr\u00e9sence d\u2019un fichier `cli\u2011history` pour un utilisateur sans le bash history correspondant ; \n* Sessions root interactives sur des syst\u00e8mes de production, avec des cl\u00e9s SSH non r\u00e9pertori\u00e9es, des known hosts et un historique bash. Par exemple\u202f:\n   * Cl\u00e9s SSH dans\u202f:   `/home/root/.ssh/authorized_keys` avec `PermitRootLogin` r\u00e9gl\u00e9 sur `yes` dans`/etc/ssh/sshd_config`\n   * Known hosts dans\u202f: `/home/root/.ssh/known_hosts`\n<pre>\nNotification: system-login-change severity-level:minor host-name:\"<node_name>\" system-ip:<IP> user-name:\"\"root\"\"\n</pre>\n\nCisco recommande \u00e9galement de consulter le guide de recherche de compromission r\u00e9dig\u00e9 par l'Australian Cyber Security Centre [2] ainsi que le guide de durcissement de Catalyst SD-WAN [3].\n\nEn cas de suspicion de compromission consulter les fiches r\u00e9flexes de compromission d'un \u00e9quipement de bordure r\u00e9seau [4][5] et signaler l\u2019\u00e9v\u00e9nement aupr\u00e8s du CERT-FR.\n\n## Solutions\n\n**[Publication Initiale]**\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des correctifs (cf. section Documentation).","cves":[{"name":"CVE-2026-20127","url":"https://www.cve.org/CVERecord?id=CVE-2026-20127"},{"name":"CVE-2022-20775","url":"https://www.cve.org/CVERecord?id=CVE-2022-20775"}],"links":[{"title":"[3] Guide de durcissement de Catalyst SD-WAN","url":"https://sec.cloudapps.cisco.com/security/center/resources/Cisco-Catalyst-SD-WAN-HardeningGuide"},{"title":"[2] Cisco SD-WAN Threat hunt guide, version 2.4 du 25 f\u00e9vrier 2026","url":"https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf"},{"title":"[1] Billet de blogue de Cisco Talos du 25 f\u00e9vrier 2026 relatif \u00e0 l'exploitation de vuln\u00e9rabilit\u00e9s dans Catalyst SD-WAN","url":"https://blog.talosintelligence.com/uat-8616-sd-wan/"},{"title":"[4] Compromission d'un \u00e9quipement de bordure r\u00e9seau - Qualification","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/"},{"title":"Avis CERTFR-2026-AVI-0210","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0210/"},{"title":"[5] Compromission d'un \u00e9quipement de bordure r\u00e9seau - Endiguement","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/ "}],"reference":"CERTFR-2026-ALE-002","revisions":[{"description":"Version initiale","revision_date":"2026-02-25T00:00:00.000000"},{"description":"Ajout de compl\u00e9ments li\u00e9s \u00e0 la recherche de compromission","revision_date":"2026-02-26T00:00:00.000000"},{"description":" Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2026-03-26T00:00:00.000000"}],"risks":[{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Cisco Catalyst SD-WAN. Elle permet \u00e0 un attaquant de provoquer un contournement de la politique de s\u00e9curit\u00e9.\n\nCisco indique que la vuln\u00e9rabilit\u00e9 CVE-2026-20127 est activement exploit\u00e9e.","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Cisco Catalyst SD-WAN","vendor_advisories":[{"published_at":"2026-02-25","title":"Bulletin de s\u00e9curit\u00e9 Cisco","url":"https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk"}]}