CVE-2026-20122: Écriture arbitraire de fichiers dans Cisco Catalyst SD-WAN Manager
Ce rapport propose une analyse technique de la CVE-2026-20122, une vulnérabilité d’écriture arbitraire de fichiers identifiée dans Cisco Catalyst SD-WAN Manager.
Vue d’ensemble de la vulnérabilité
Section intitulée « Vue d’ensemble de la vulnérabilité »La CVE-2026-20122 est une faille de sécurité critique située dans l’interface API de Cisco Catalyst SD-WAN Manager. Elle permet à un attaquant distant, authentifié avec des droits en lecture seule, d’écraser des fichiers arbitraires sur le système de fichiers local. Cela est possible en raison d’une mauvaise gestion des requêtes de téléchargement de fichiers, spécifiquement via le point de terminaison /dataservice/smartLicensing/uploadAck.
Analyse de la cause racine
Section intitulée « Analyse de la cause racine »La vulnérabilité provient d’une validation d’entrée insuffisante et d’un manque de nettoyage des chemins dans le module de gestion de licences de l’API. Lorsqu’un utilisateur authentifié soumet une requête au point de terminaison uploadAck, l’application gère incorrectement les chemins de fichiers fournis par l’utilisateur, omettant d’empêcher les séquences de traversée de répertoire (ex: ../../../). Cette faille permet à un attaquant de sortir du répertoire prévu et de viser des chemins système sensibles, y compris les répertoires de déploiement du serveur d’applications.
Chemin d’exploitation
Section intitulée « Chemin d’exploitation »Un attaquant peut exploiter cette vulnérabilité en élaborant une requête de mise à jour de licence malveillante. En manipulant le nom de fichier pour inclure des séquences de traversée, l’attaquant dirige l’application vers l’écrasement de fichiers critiques.
- Accès authentifié : l’attaquant utilise des identifiants valides en lecture seule pour accéder à l’API.
- Préparation de la charge utile : un fichier malveillant est préparé et nommé avec des séquences de traversée ciblant un chemin de déploiement, tel que
/var/lib/wildfly/standalone/deployments/[fichier_malveillant].war. - Déclenchement de l’écrasement : le fichier est envoyé via une requête POST à
/dataservice/smartLicensing/uploadAck. - Exécution : une fois déployé, l’attaquant interagit avec le point de terminaison créé (ex:
/cmd.gz/cmd.jsp) pour exécuter du code arbitraire avec les privilèges de l’utilisateur vmanage.
Analyse Forensic
Section intitulée « Analyse Forensic »Lors d’une investigation, les artefacts suivants constituent des indicateurs de compromission clairs :
- Fichiers de journaux :
/var/log/nms/containers/service-proxy/serviceproxy-access.logenregistre les requêtes POST non autorisées vers/dataservice/smartLicensing/uploadAck. - Journaux détaillés de l’application :
/var/log/nms/vmanage-server.logpeut contenir des erreurs explicites liées aux tentatives de traversée de répertoire, telles queFailed to download the file.... - Présence d’un Webshell : l’accès à des points de terminaison inattendus tels que
/cmd.gz/cmd.jspindique fortement une exploitation réussie et le déploiement d’un webshell.
Logique de détection
Section intitulée « Logique de détection »Pour détecter une exploitation potentielle, surveillez les journaux d’accès web pour les motifs suspects identifiés.
title: Potentielle écriture arbitraire de fichier sur Cisco SD-WANlogsource: category: web product: cisco_sdwandetection: selection: uri|contains: '/dataservice/smartLicensing/uploadAck' method: 'POST' condition: selectionlevel: highCiscoSDWANLogs| where uri_path contains "/dataservice/smartLicensing/uploadAck"| where method == "POST"| project time, src_ip, uri_path, status, user_agentCisco a publié des correctifs pour cette vulnérabilité. Les organisations doivent mettre à jour les systèmes vers les versions logicielles recommandées pour remédier à ce risque.