CVE-2026-20147 : Vulnérabilité d'exécution de code à distance dans Cisco ISE

Note

TL;DR : Cisco ISE et ISE-PIC présentent une faille critique d’injection de commande (CVE-2026-20147, CVSS 9.9). Un administrateur distant authentifié peut exécuter des commandes arbitraires sur le système d’exploitation, menant à une élévation de privilèges root. Un correctif immédiat vers la dernière version est obligatoire.

Sommaire exécutif (Executive Summary)

Cisco Identity Services Engine (ISE) et ISE-PIC comportent une vulnérabilité critique d’injection de commande. Cette faille permet à un administrateur authentifié d’exécuter des commandes arbitraires sur le système d’exploitation hôte. Elle provient d’une validation insuffisante des entrées dans les requêtes HTTP traitées par l’équipement. Une exploitation réussie donne accès au niveau utilisateur, avec une élévation possible jusqu’au niveau root, impactant la disponibilité et la sécurité du réseau.

Analyse technique

La vulnérabilité, référencée CVE-2026-20147, est une faille d’injection de commande classée CWE-77.

Le point d’injection se situe dans le traitement des requêtes HTTP au sein de l’interface de gestion de Cisco ISE. Le système ne parvient pas à assainir correctement les entrées utilisateur, permettant l’injection de charges utiles (payloads) malveillantes qui échappent au contexte d’exécution prévu pour exécuter des commandes au niveau de l’OS.

Bien que l’exploitation nécessite des privilèges d’administration valides, l’impact est sévère compte tenu du rôle central d’ISE dans le contrôle d’accès réseau.

Flux d’exploitation

Un attaquant disposant d’un accès administrateur envoie une requête HTTP spécifiquement forgée vers l’équipement Cisco ISE cible. L’application, en défaut de validation des paramètres, exécute les commandes intégrées.

1. Authentification : l’attaquant s’authentifie en tant qu’administrateur.
2. Requête forgée : l’attaquant envoie une requête HTTP contenant une entrée malveillante.
3. Exécution : le système ISE traite l’entrée et exécute les commandes sur l’OS sous-jacent.
4. Escalade : l’attaquant escalade du contexte initial aux privilèges root.

Investigation forensique

Identifiez les tentatives d’exploitation de cette vulnérabilité en analysant les journaux d’accès (logs) administratifs à la recherche de modèles de requêtes inhabituels.

Analyse de trafic

Inspectez le trafic de gestion (HTTPS) à la recherche de paramètres inhabituels ou de syntaxe d’injection de commande.

Journaux système

Surveillez les journaux système pour détecter l’exécution de processus inattendus provenant du service de gestion web.

Détection

La détection repose sur l’analyse du trafic administratif et des journaux système.

1. Audit Logs (Journaux d’audit) : identifiez les comptes administratifs accédant à l’interface de gestion depuis des sources IP inhabituelles.
2. Traffic Inspection (Inspection de trafic) : utilisez le déchargement TLS pour inspecter le trafic HTTPS administratif à la recherche de motifs d’entrée suspects.
3. SIEM Monitoring (Surveillance SIEM) : corrélez les connexions administratives avec une activité de processus inhabituelle subséquente.

Atténuation (mitigation)

Cisco a publié des correctifs pour les versions affectées. Il n’existe aucun contournement pour cette vulnérabilité.

• Cisco ISE 3.1 : Mettre à niveau vers 3.1 Patch 11
• Cisco ISE 3.2 : Mettre à niveau vers 3.2 Patch 10
• Cisco ISE 3.3 : Mettre à niveau vers 3.3 Patch 11
• Cisco ISE 3.4 : Mettre à niveau vers 3.4 Patch 6
• Cisco ISE 3.5 : Mettre à niveau vers 3.5 Patch 3

SOURCES

• Cisco Security Advisory
• NVD Detail