Si vous administrez une infrastructure réseau utilisant Cisco Catalyst SD-WAN, une vulnérabilité critique actuellement exploitée sur Internet permet à un attaquant distant sans authentification d’obtenir un accès administrateur au système. Une exploitation réussie peut permettre de modifier la configuration réseau, d’espionner les communications ou de maintenir un accès discret à l’infrastructure.
Les investigations effectuées par Cisco Talos montrent que ces attaques sont menées par un acteur sophistiqué et que des compromissions ont été observées depuis au moins 2023, avec dans certains cas une élévation de privilèges jusqu’au contrôle complet du système après modification de la version logicielle.
Selon Cisco, un système SD-WAN peut être particulièrement exposé si :
-
le contrôleur SD-WAN est accessible depuis Internet
-
des ports sont ouverts vers l’extérieur
-
l’accès n’est pas limité aux adresses IP autorisées
Les éléments suivants peuvent indiquer qu’un système SD-WAN a été compromis :
-
une nouvelle connexion SD-WAN inconnue
-
un accès administrateur inattendu
-
des journaux système effacés ou incomplets
-
des mises à jour ou rétrogradations non planifiées
PRODUITS CONCERNÉS
Cette vulnérabilité affecte :
*Cisco Catalyst SD-WAN Controller
*Cisco Catalyst SD-WAN Manager
ACTIONS RECOMMANDÉES
-
Application des mises à jour recommandée dès que possible
-
Surveillance des connexions et changements inhabituels recommandée
-
Restreindre l’accès réseau aux seuls équipements autorisés
-
Conserver les journaux sur un serveur externe si possible
-
Placer les contrôleurs derrière un firewall
🩹
👇️
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk