Alerte Cyber : Faille critique CVSS 10.0 sur Cisco Secure Workload, mettez à jour immédiatement!!

-

Salut à tous les amoureux de l'high-tech,

C’est le scénario cauchemar pour de nombreux responsables de la sécurité informatique (RSSI). Le 22 mai 2026, une vulnérabilité d’une gravité absolue a été dévoilée au cœur d’une des solutions de défense réseau les plus stratégiques du marché.

La plateforme Cisco Secure Workload, véritable pilier de la gestion des politiques Zero Trust, de la microsegmentation et de la visibilité des infrastructures d'entreprise, est touchée par une faille de sécurité critique affichant le score maximal et rarissime de 10.0 sur l'échelle CVSS.

Fiche technique de la faille (Mai 2026)

  • Identifiant : CVE-2026-20223.

  • Score de gravité : 10.0 / 10 (Critique maximal).

  • Produit affecté : Version sur site (on-premise) de Cisco Secure Workload.

  • Vecteur d'attaque : Requête HTTP malveillante à distance, sans aucune authentification requise.

  • Impact : Escalade de privilèges immédiate au niveau administrateur du site.

  • Statut de l'exploitation : Aucune exploitation connue dans la nature au moment de l'annonce par Cisco.

"Le pire scénario possible" : Pourquoi cette faille est redoutable

Comme l'explique le consultant indépendant en sécurité Robert Enderle, cette faille équivaut à donner la carte et les clés de l’intégralité du réseau de l'entreprise à un pirate. En exploitant cette vulnérabilité, un attaquant distant non authentifié peut contourner l’étape d'identification en envoyant simplement une requête HTTP spécialement conçue vers un point de terminaison de l'API REST interne.

L'origine du bug provient d'une validation et d'une authentification insuffisantes de ces points d'accès API internes. Une fois à l'intérieur avec les privilèges administrateur, le cybercriminel peut :

  • Modifier, falsifier ou démanteler complètement les politiques de sécurité appliquées à l'entreprise.

  • Ouvrir des accès réseau qui étaient délibérément verrouillés.

  • Compromettre les données et les charges de travail de plusieurs divisions ou clients dans le cas d'environnements multi-hôtes.

[Attaquant distant non authentifié] ──► [Requête HTTP falsifiée] ──► [API REST interne défaillante]
                                                                                │
[Contrôle total du réseau d'entreprise] ◄── [Élévation de privilèges Admin (CVSS 10.0)] ┘

Comment corriger le problème ? Les versions à installer?

Cisco a été très clair dans son bulletin d'alerte : il n'existe aucune solution de contournement temporaire (workaround). La seule et unique manière de protéger votre infrastructure est d'appliquer immédiatement les correctifs logiciels fournis par la marque.

Voici la feuille de route officielle pour les administrateurs système :

  • Si vous utilisez la version 4.0 : Vous devez migrer immédiatement vers la version 4.0.3.17.

  • Si vous utilisez la version 3.10 : Vous devez appliquer la mise à jour vers la version 3.10.8.3.

  • Si vous utilisez la version 3.9 (ou antérieure) : Ces versions ne sont plus protégées ; il faut obligatoirement migrer vers une version plus récente et entièrement corrigée.

☁️ À noter concernant le Cloud : La faille affecte également la fonction Cluster dans les déploiements SaaS. Cependant, l'éditeur a déjà patché ses propres infrastructures cloud. Seuls les clients exploitant la version sur site (on-premise) doivent mener l'action de mise à jour manuellement.

Une menace à traiter comme "active"

La bonne nouvelle dans cette affaire réside dans le fait que c’est l’équipe de sécurité interne de Cisco qui a découvert et corrigé la faille de manière préventive, sans qu'aucune fuite ou attaque n'ait été détectée sur le web avant la publication du patch.

Cependant, Fred Chagnon, directeur de recherche chez Info-Tech Research Group, avertit qu'en raison d'un "score CVSS parfait", l'absence totale d'authentification requise va pousser les cybercriminels à scanner le net de manière extrêmement agressive à la recherche d'API non patchées. Les entreprises doivent donc traiter cette alerte comme une menace active.

Ce n'est d'ailleurs pas le premier défi de l'année pour les équipes IT sur les solutions Cisco. En avril, une vulnérabilité de score 9.8 avait touché Webex Control Hub, précédée en janvier par un bug d'exécution de code à distance sur Unified Communications Manager, et en décembre par une faille Zero-Day exploitée par des hackers étatiques chinois sur les appliances Secure Email.

L'avis du blog :

Un score de 10.0 sur l'échelle CVSS est l'équivalent cyber d'une alerte rouge absolue. Dans une architecture d'entreprise moderne, le Zero Trust et la microsegmentation sont les ultimes remparts contre la propagation des ransomwares. Si ce rempart est lui-même fracturé, tout s'écroule. Si vous gérez des serveurs Cisco Secure Workload en local, n'attendez pas la fin du week-end : patchez dès maintenant.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Règlement d'un montant de 1,375 milliard de dollars de Google pour le Texas!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de Google qui a   récemment accepté de verser 1,375 milliard de dollars à l'État du Texas pour régler deux poursuites l'accusant de suivre les données personnelles des utilisateurs, y compris leur localisation, leurs recherches en mode incognito, ainsi que leurs données vocales et faciales, sans leur consentement. Ces poursuites ont été initiées par le procureur général du Texas, Ken Paxton, en 2022. Ce règlement est le plus important jamais obtenu par un procureur général contre Google en matière de lois sur la vie privée au niveau national. Paxton a déclaré : « Au Texas, Big Tech n'est pas au-dessus des lois. » Un porte-parole de Google a indiqué que l'entreprise réglait ces poursuites sans admission de culpabilité et sans avoir à modifier ses produits. José Castañeda a précisé que ce règlement concernait des réclamations anciennes, dont beaucoup avaient déjà été résolues ailleurs, et a souligné que Google cont...
Lire la suite

Clap de fin sur le rachat Activision Blizzard par Microsoft: la FTC perd en appel!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour la fin du feuilleton du rachat d'Activision Blizzard King par Microsoft touche à sa fin. La Federal Trade Commission (FTC), l'autorité américaine de la concurrence, a perdu son appel visant à bloquer cette acquisition de 69 milliards de dollars. Cette décision judiciaire lève le dernier obstacle juridique aux États-Unis, rendant l'opération désormais officielle sur ce marché clé. Une victoire décisive pour Microsoft Après plusieurs mois de batailles judiciaires, Microsoft a triomphé. La cour d'appel américaine a confirmé la décision de première instance, rejetant les arguments de la FTC qui tentait d'obtenir une injonction pour suspendre le rachat. Ce revers pour le régulateur souligne son incapacité à freiner la consolidation dans le secteur technologique et du jeu vidéo. Les préoccupations de la FTC La FTC s'était opposée à cette acquisition en évoquant des risques pour la concurrence, craignant que Microsoft ...
Lire la suite

Investissement d'un montant d'1 milliard d'euros dans un data center européen par Tik Tok!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de l'annonce de TikTok à propos d'un investissement d'un milliard d'euros pour la construction d'un nouveau data center à Kouvola, dans le sud-est de la Finlande.  La semaine précédente, l'Union européenne avait infligé une amende de 530 millions d'euros à TikTok, accusé de transférer les données des utilisateurs européens vers la Chine sans garanties suffisantes contre l'accès des autorités chinoises. En réponse, TikTok a annoncé son intention de faire appel de cette décision. L'initiative en Finlande s'inscrit dans le cadre du Projet Clover, un programme plus vaste de 12 milliards d'euros lancé par TikTok pour renforcer la protection des données de ses 175 millions d'utilisateurs européens. L'entreprise considère cette infrastructure comme une « étape significative » dans son engagement envers la sécurité des données sur le continent. Le futur data center permettra de stocker...
Lire la suite