CVE-2026-20188 : comment une faille Cisco peut rendre CNC et NSO injoignables

De quoi parle-t-on exactement ?

Cisco CNC et Cisco NSO sont des plateformes liées au contrôle, à l’orchestration et à la gestion de réseaux ^[1][12]. La vulnérabilité CVE-2026-20188 touche leur façon de traiter les connexions entrantes ^[1].

L’impact documenté est un problème de disponibilité. Cisco explique qu’une exploitation réussie peut épuiser les ressources de connexion disponibles et faire en sorte que Cisco CNC ou Cisco NSO ne réponde plus ^[1]. Les avis et fiches de vulnérabilité cités décrivent ce scénario comme un déni de service, et non comme un vol d’identifiants ou une exécution de code à distance ^[1][3].

Comment l’attaque rend la plateforme muette

Le scénario d’exploitation est relativement direct :

1. Un attaquant distant non authentifié envoie un grand nombre de demandes de connexion vers un système Cisco CNC ou NSO vulnérable ^[1].
2. Comme la logique de traitement des connexions ne limite pas suffisamment le rythme des connexions entrantes, ces requêtes peuvent consommer les ressources disponibles ^[1].
3. Une fois ces ressources épuisées, la plateforme peut devenir indisponible pour les utilisateurs légitimes ou les services qui en dépendent, ce qui provoque une situation de déni de service ^[1][8].

Autrement dit, le système est saturé au niveau de la gestion des connexions avant de pouvoir servir correctement le trafic normal d’administration ou d’orchestration.

Pourquoi l’impact opérationnel compte

Un déni de service sur un contrôleur ou un orchestrateur réseau peut être très perturbant, même s’il ne donne pas accès aux données et ne permet pas d’exécuter du code. Si CNC ou NSO devient injoignable, les administrateurs et les services dépendants peuvent perdre leur accès normal à la plateforme jusqu’à son rétablissement ^[8].

Des informations publiques sur le correctif Cisco indiquent aussi qu’après une attaque réussie, la remise en état peut nécessiter un redémarrage manuel du système ciblé ^[6]. Dans un environnement où les opérations de maintenance doivent être coordonnées, ce n’est donc pas forcément un simple ralentissement passager.

Versions et produits à vérifier

Cisco désigne Cisco Crosswork Network Controller et Cisco Network Services Orchestrator comme les familles de produits concernées par CVE-2026-20188 ^[1].

Pour cadrer les vérifications, le résumé du Centre canadien pour la cybersécurité sur les avis Cisco du 6 mai 2026 mentionnait des mises à jour couvrant Cisco CNC version 7.1 et antérieures, Cisco NSO version 6.3 et antérieures, ainsi que les versions de Cisco NSO antérieures à 6.4.1.3 ^[7]. Comme les branches logicielles et les détails de déploiement peuvent varier, l’avis Cisco doit rester la référence pour déterminer précisément les versions affectées et les versions corrigées ^[1].

Que faire : mettre à jour, faute de contournement

Cisco indique qu’il n’existe pas de solution de contournement pour CVE-2026-20188 ^[1]. Des mises à jour de sécurité ont été publiées pour corriger la vulnérabilité, selon les informations publiques disponibles ; la mesure concrète consiste donc à faire évoluer les déploiements CNC et NSO concernés vers une version corrigée ^[6].

Les équipes sécurité et réseau devraient prioriser quatre contrôles :

• vérifier si Cisco CNC ou Cisco NSO est présent dans l’environnement ;
• comparer les versions installées avec l’avis et les recommandations de mise à jour de Cisco ^[1] ;
• planifier la mise à jour des systèmes concernés, puisqu’aucun contournement n’est listé par Cisco ^[1] ;
• préparer les procédures de reprise pour les systèmes devenus injoignables, y compris la possibilité d’un redémarrage manuel après exploitation réussie ^[6][8].

En résumé, CVE-2026-20188 est une faille de déni de service par épuisement des connexions. Un volume élevé de tentatives de connexion peut vider les ressources de traitement disponibles et laisser Cisco CNC ou NSO sans réponse normale jusqu’à récupération puis correction du système ^[1][8].