.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Le 25 février 2026, la CISA (Cybersecurity and Infrastructure Security Agency) américaine et le NCSC (National Cyber Security Centre) britannique ont averti que des vulnérabilités affectant les systèmes SD-WAN (Software-Defined Wide-Area Network) de Cisco (CVE-2026-20127 et CVE-2022-20775) étaient activement exploitées. La vulnérabilité CVE-2026-20127 peut permettre à un attaquant distant de contourner l'authentification et d'obtenir des privilèges administrateur sur le système affecté. La vulnérabilité CVE-2022-20775 pourrait permettre à un attaquant local authentifié d'élever ses privilèges.
Cette activité a été liée à des opérations malveillantes en cours ciblant les réseaux fédéraux. Ces menaces représentent un risque en matière de sécurité important en raison du rôle central que jouent les technologies SD-WAN dans les environnements de réseau distribués. La CISA a émis une directive d'urgence exigeant des agences qu'elles prennent des mesures immédiates pour réduire leur exposition et évaluer leurs systèmes afin de détecter toute compromission potentielle.
Actions recommandées
Les chercheurs de la CTU (Counter Threat Unit™) recommandent à toutes les organisations d'identifier les systèmes SD-WAN vulnérables dans leurs environnements et de mettre en œuvre les mesures de mitigation décrites dans l'avis Cisco Talos, le cas échéant.
Les protections de Sophos
SophosLabs a développé les règles IPS suivantes pour détecter les activités associées à ces menaces :
- 65938 - SERVER-OTHER TRUFFLEHUNTER SFVRT-1058 attack attempt
- 65958 - SERVER-OTHER TRUFFLEHUNTER SFVRT-1058 attack attemptBillet inspiré de Cisco SD-WAN vulnerabilities (CVE-2026-20127, CVE-2022-20775) in active exploitation, sur le Blog Sophos.