CVE-2026-20128
Sommaire exécutif (Executive Summary)
Section intitulée « Sommaire exécutif (Executive Summary) »Une vulnérabilité critique identifiée sous le nom CVE-2026-20128 affecte la fonctionnalité Data Collection Agent (DCA) de Cisco Catalyst SD-WAN Manager. Ce défaut permet à des attaquants distants non authentifiés de récupérer les identifiants stockés pour le service DCA, facilitant l’accès non autorisé et l’élévation de privilèges sur les systèmes affectés. Étant donné son inclusion dans le catalogue des vulnérabilités exploitées connues (KEV) de la CISA, une remédiation immédiate est requise.
Analyse technique
Section intitulée « Analyse technique »La vulnérabilité provient du stockage des identifiants de l’utilisateur DCA dans un format récupérable au sein d’un fichier de configuration présent sur le système de fichiers. En transmettant une requête HTTP spécialement conçue vers Cisco Catalyst SD-WAN Manager, un attaquant non authentifié peut inciter le système à divulguer le contenu de ce fichier.
L’exploitation réussie de cette vulnérabilité permet à l’attaquant d’obtenir des identifiants DCA valides. Ces identifiants fournissent l’accès nécessaire pour s’authentifier sur d’autres systèmes affectés, entraînant une élévation de privilèges de l’utilisateur DCA. La vulnérabilité est présente dans les versions antérieures à la 20.18.
Indicateurs médico-légaux (Forensic Markers)
Section intitulée « Indicateurs médico-légaux (Forensic Markers) »L’enquête sur les systèmes compromis doit se concentrer sur les indicateurs suivants :
- Requêtes HTTP ciblant le point de terminaison
/dataservice/dca/, en particulier celles montrant des signes de traversée de répertoire ou d’injection de paramètres anormaux. - Tentatives non autorisées d’accéder ou de lire les fichiers de configuration des identifiants DCA situés sur le système de fichiers.
- Journaux d’authentification système indiquant une élévation de privilèges non autorisée pour le compte utilisateur DCA.
Règles de détection
Section intitulée « Règles de détection »title: Détection de l'exploitation de la CVE-2026-20128status: experimentaldescription: Détecte les tentatives d'exploitation contre la fonctionnalité DCA de Cisco Catalyst SD-WAN Manager.logsource: category: web_access product: cisco_sdwandetection: selection: uri|contains: '/dataservice/dca/' condition: selectionWebAccessLogs| where Url contains "/dataservice/dca/"| project TimeGenerated, ClientIP, Url, StatusAtténuation et remédiation
Section intitulée « Atténuation et remédiation »Les utilisateurs doivent mettre à niveau Cisco Catalyst SD-WAN Manager vers la version 20.18 ou ultérieure, où cette vulnérabilité est corrigée. Lorsque la mise à niveau immédiate n’est pas réalisable, restreignez l’accès à l’interface de gestion Web et surveillez les journaux pour les indicateurs spécifiés ci-dessus.