Cisco Talos is tracking active exploitation of CVE-2026-20127 affecting Cisco Catalyst SD-WAN Controllers. Customers are strongly advised to review our latest threat advisory (https://cs.co/9001hs79z) and follow the published guidance (https://cs.co/9001hs7aL) to protect your environment.

Si vous administrez une infrastructure réseau utilisant Cisco Catalyst SD-WAN, une vulnérabilité critique actuellement exploitée sur Internet permet à un attaquant distant sans authentification d’obtenir un accès administrateur au système. Une exploitation réussie peut permettre de modifier la configuration réseau, d’espionner les communications ou de maintenir un accès discret à l’infrastructure.

Les investigations effectuées par Cisco Talos montrent que ces attaques sont menées par un acteur sophistiqué et que des compromissions ont été observées depuis au moins 2023, avec dans certains cas une élévation de privilèges jusqu’au contrôle complet du système après modification de la version logicielle.

Selon Cisco, un système SD-WAN peut être particulièrement exposé si :

• le contrôleur SD-WAN est accessible depuis Internet

• des ports sont ouverts vers l’extérieur

• l’accès n’est pas limité aux adresses IP autorisées

Les éléments suivants peuvent indiquer qu’un système SD-WAN a été compromis :

• une nouvelle connexion SD-WAN inconnue

• un accès administrateur inattendu

• des journaux système effacés ou incomplets

• des mises à jour ou rétrogradations non planifiées

Cisco recommande de vérifier certains journaux système pour détecter une compromission éventuelle.

Par exemple, dans le fichier /var/log/auth.log, une connexion SSH au compte vmanage-admin depuis une adresse IP inconnue peut être suspecte :

Accepted publickey for vmanage-admin from -adresse IP inconnue-

Dans ce cas, il faut vérifier que l’adresse IP correspond bien à un équipement SD-WAN autorisé (visible dans l’interface SD-WAN Manager → Devices → System IP).

PRODUITS CONCERNÉS

Cette vulnérabilité affecte :

• Cisco Catalyst SD-WAN Controller

• Cisco Catalyst SD-WAN Manager

Quel que soit le mode de déploiement :

• Déploiement sur site (On-Premise)

• Cisco Hosted SD-WAN Cloud

• Cisco Hosted SD-WAN Cloud – Cisco Managed

• Cisco Hosted SD-WAN Cloud – Environnement FedRAMP

ACTIONS RECOMMANDÉES

• Application des mises à jour recommandée dès que possible

• Surveillance des connexions et changements inhabituels recommandée

• Restreindre l’accès réseau aux seuls équipements autorisés

• Conserver les journaux sur un serveur externe si possible

• Placer les contrôleurs derrière un firewall

🩹
👇
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

analyse Cisco Talos
👇
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

Détails Vulnérabilité critique CVE-2026-20127
👇
https://cve.circl.lu/vuln/CVE-2026-20127

Investigation conducted by intelligence partners identified that the actor likely escalated to root user via a software version downgrade

👇
https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf

#CyberVeille #cve_2026_20127 #Cisco #vuln

Five Eyes warning: Cisco SD-WAN actively exploited by UAT-8616.
• CVE-2026-20127
• CVE-2022-20775
• Root access & rogue control-plane peering
• Persistence in edge devices
Immediate patching & threat hunting required.

Full details:
https://www.technadu.com/cisco-sd-wan-is-actively-exploited-by-uat-8616-five-eyes-alliance-agencies-issue-warning/621036/

Are you checking for downgrade events?

#InfoSec #Cisco #SDWAN #CISA #ThreatIntel

@leb Yep. And they finally updated the one in my original post:

In February 2026, the Cisco PSIRT became aware of attempted exploitation of the vulnerability described in CVE-2022-20775.

Five Eyes warning: Cisco SD-WAN actively exploited by UAT-8616.
• CVE-2026-20127
• CVE-2022-20775
• Root access & rogue control-plane peering
• Persistence in edge devices
Immediate patching & threat hunting required.

Full details:
https://www.technadu.com/cisco-sd-wan-is-actively-exploited-by-uat-8616-five-eyes-alliance-agencies-issue-warning/621036/

Are you checking for downgrade events?

#InfoSec #Cisco #SDWAN #CISA #ThreatIntel

Anthropic has addressed some of the concerns raised here, but the fact remains that Claude Code will run code in configuration files with minimal visibility to the end user. In this way, it presents similar dangers to VS Code and Cursor.

https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/

Щли недели с публикации данных о CVE-2026-2441, а Яндекс до сих пор не выпустил патч для своего браузера.

Il fallait la trouver celle là !
Utiliser des CSS pour extraire des valeurs (par ex un token de protection contre les CSRF) !

https://www.sitepoint.com/zero-day-css-cve-2026-2441-security-vulnerability/

NCTAG 5.8: The Zyxel Perimeter Crisis
120,000 targets identified. The Cyber Mind Co™ has released Global Watchtower Manifest (GWM) NCTAG 1.1, detailing a critical Unauthenticated RCE (CVE-2025-13942) in Zyxel devices

https://thecybermind.co/2026/02/25/zyxel-upnp-crisis-cve-2025-13942/
#RCE #Zyxel

https://thecybermind.co/2026/02/25/zyxel-upnp-crisis-cve-2025-13942/?utm_source=mastodon&utm_medium=jetpack_social

Zyxel addresses critical CVE-2025-13942 RCE affecting UPnP in 4G/5G CPEs, DSL/Ethernet, Fiber ONTs, and wireless extenders. Exploitation requires WAN + UPnP enabled; Shadowserver tracks ~120k exposed devices.

Additional post-auth command-injection flaws (CVE-2025-13943, CVE-2026-1459) patched. EOL devices (VMG1312, VMG3312/13, SBG3300/3500) remain unpatched; replacement recommended.

Mitigation recommendations:
• Apply firmware updates immediately
• Disable unnecessary UPnP/WAN access
• Monitor network exposure of legacy devices
• Track patched vs. unpatched CPEs/routers in enterprise inventories

Source: https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-rce-flaw-affecting-over-a-dozen-routers/

How are you prioritizing critical RCE patches for network devices? Comment below and follow for in-depth threat reporting.

#NetworkSecurity #IoTSecurity #PatchManagement #RCE #RouterSecurity #CVE #ThreatIntel #Infosec #ZeroTrust #EnterpriseSecurity

Zyxel addresses critical CVE-2025-13942 RCE affecting UPnP in 4G/5G CPEs, DSL/Ethernet, Fiber ONTs, and wireless extenders. Exploitation requires WAN + UPnP enabled; Shadowserver tracks ~120k exposed devices.

Additional post-auth command-injection flaws (CVE-2025-13943, CVE-2026-1459) patched. EOL devices (VMG1312, VMG3312/13, SBG3300/3500) remain unpatched; replacement recommended.

Mitigation recommendations:
• Apply firmware updates immediately
• Disable unnecessary UPnP/WAN access
• Monitor network exposure of legacy devices
• Track patched vs. unpatched CPEs/routers in enterprise inventories

Source: https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-rce-flaw-affecting-over-a-dozen-routers/

How are you prioritizing critical RCE patches for network devices? Comment below and follow for in-depth threat reporting.

#NetworkSecurity #IoTSecurity #PatchManagement #RCE #RouterSecurity #CVE #ThreatIntel #Infosec #ZeroTrust #EnterpriseSecurity

On a recent engagement, we exploited a previously disclosed privilege escalation bug in Tenable's Nessus Agent. No public PoC was available, so we made one; check it out here https://github.com/atredispartners/proof-of-concept/tree/main/cve-2025-36632