Les agences Five Eyes et la CISA alertent sur des attaques zero-day contre Cisco remontant à 2023

Les agences de cybersécurité américaines, dont la CISA, et les alliés de l’alliance Five Eyes ont averti mercredi d’une campagne mondiale d’attaques exploitant des vulnérabilités zero-day dans le logiciel de bord de réseau de Cisco depuis au moins 2023. La CISA a émis une directive d’urgence, accompagnée d’un guide conjoint pour aider les défenseurs à détecter les signes de compromission. Il s’agit de la deuxième série d’exploits multiples touchant la technologie de bord de Cisco depuis le printemps dernier. Ces attaques prolongées révèlent un schéma récurrent : les deux campagnes ont duré au moins un an avant leur identification, les directives de la CISA étant publiées plusieurs mois après la détection initiale. Les vulnérabilités zero-day, c’est-à-dire des failles inconnues exploitées avant la publication de correctifs, visent les systèmes de contrôle SD-WAN de Cisco. Le SD-WAN, ou réseau étendu défini par logiciel, constitue une infrastructure essentielle qui gère le trafic sur les réseaux gouvernementaux et d’entreprises. Les autorités n’ont pas attribué ces opérations à un État-nation ou à un groupe de menaces spécifique. L’équipe de renseignement sur les menaces Cisco Talos a divulgué une vulnérabilité critique, CVE-2026-20127, permettant à un attaquant non authentifié de contourner les contrôles d’accès et d’obtenir des privilèges administrateur sur les composants du plan de contrôle SD-WAN. Cette activité est liée au cluster de menaces UAT-8616, avec des signes d’exploitation dès 2023. Les assaillants peuvent ainsi manipuler les communications entre contrôleur et appareils, modifier les configurations réseau et établir un accès persistant. L’alliance Five Eyes, qui regroupe les services de renseignement des États-Unis, du Royaume-Uni, de l’Australie, du Canada et de la Nouvelle-Zélande, favorise un partage étroit d’informations sur les cybermenaces. Les agences exhortent les organisations à appliquer immédiatement les correctifs et à chasser activement les preuves de compromission sur les appareils affectés. Une telle vigilance s’impose face à des attaques susceptibles de compromettre des infrastructures critiques à l’échelle mondiale.