Агентство по кибербезопасности и защите инфраструктуры США (CISA) дополнило свой каталог известных эксплуатируемых уязвимостей (KEV) тремя новыми записями. Речь идёт о проблемах в операционной системе Arista EOS, браузере Google Chrome на базе Chromium и платформе управления Cisco Catalyst SD-WAN Manager. Каждая из этих уязвимостей уже используется злоумышленниками в реальных атаках, что подтвердили как сами производители, так и независимые исследователи.
Детали уязвимостей
Первая уязвимость, CVE‑2026‑7473, затрагивает операционную систему Arista EOS, которая работает на коммутаторах этого вендора. Проблема связана с некорректной обработкой туннельных протоколов. Если на устройстве настроена декапсуляция (распаковка) туннелей VXLAN (Virtual Extensible LAN - виртуальная расширяемая локальная сеть), GRE (Generic Routing Encapsulation - общая инкапсуляция маршрутизации) или decap‑групп, то коммутатор может ошибочно распаковать и перенаправить любой туннелированный пакет, адресованный на IP, совпадающий с IP декапсуляции. Причина - отсутствие проверки типа туннельного протокола. Иными словами, устройство не отличает "свой" туннель от "чужого", что позволяет атакующему отправлять вредоносный трафик, который будет обработан без дополнительных ограничений. Эта ошибка классифицируется как CWE‑1023 (неполное сравнение с пропущенными факторами). По шкале CVSS версии 3.1 ей присвоен средний уровень опасности - 5,8 балла. Однако эксплуатация уже зафиксирована в дикой природе, что и стало причиной включения в каталог CISA. Под удар попали многие серии коммутаторов: 7020R, 7280R/R2/R3, 7500R/R2/R3, 7800R3, а также версии EOS начиная с 4.30 и до 4.36. Особенно уязвимы устройства, где включены туннельные интерфейсы IP‑in‑IPv6 и GUEv6.
Вторая уязвимость, CVE‑2026‑11645, относится к движку V8 браузера Google Chrome. Это ошибка выхода за границы буфера при чтении и записи. Удалённый злоумышленник может отправить пользователю специально созданную HTML‑страницу, и при её открытии в уязвимой версии Chrome получит возможность выполнить произвольный код внутри песочницы (изолированного окружения). Проблема затрагивает версии Chrome до 149.0.7827.103 включительно. Степень опасности по версии Google оценена как высокая. Хотя песочница ограничивает действия атакующего, обход этой защиты - лишь вопрос времени, особенно если злоумышленник комбинирует эту уязвимость с другими. Эксплуатация уже подтверждена, поэтому CISA настоятельно рекомендует обновить браузер.
Третья и, пожалуй, самая серьёзная уязвимость - CVE‑2026‑20245. Она обнаружена в продуктах Cisco для построения программно‑определяемых глобальных сетей (SD‑WAN): контроллере (ранее vSmart), менеджере (ранее vManage) и валидаторе (ранее vBond). Проблема кроется в интерфейсе командной строки (CLI). Из‑за недостаточной проверки пользовательского ввода аутентифицированный локальный злоумышленник, обладающий правами netadmin (сетевого администратора), может загрузить специально подготовленный файл на систему. После этого он получает возможность выполнять произвольные команды от имени суперпользователя root. По сути, это инъекция команд, приводящая к повышению привилегий. В отчёте Cisco указано, что у компании есть данные об ограниченном числе случаев, когда эксплуатация привела к изменению конфигурации на граничных устройствах (edge devices). Это особенно опасно, поскольку компрометация SD‑WAN Manager позволяет злоумышленнику перехватить управление всей распределённой сетью. Уязвимости присвоен высокий уровень опасности (7,8 балла по CVSS 3.1). Список затронутых версий насчитывает несколько сотен: от 17.2.4 до 26.1.1.1, включая многочисленные сборки с приставками LI_Images и EFT. Обновление до исправленной версии, выпущенное Cisco 14 мая 2026 года, должно быть установлено в кратчайшие сроки.
Все три уязвимости уже активно эксплуатируются злоумышленниками, поэтому включение в каталог KEV означает, что федеральные ведомства США обязаны применить меры защиты в установленный срок. Однако это сигнал не только для госсектора, но и для коммерческих организаций. Компании, использующие оборудование Arista с включёнными туннелями, а также Google Chrome и решения Cisco SD‑WAN, должны немедленно проверить версии своих продуктов и установить исправления. Откладывать обновление рискованно: в случае с Arista атака может привести к утечке трафика или его перенаправлению, с Chrome - к удалённому выполнению кода на компьютере пользователя, а с Cisco - к полной компрометации сетевой инфраструктуры. Тенденция последних месяцев такова, что злоумышленники всё чаще нацеливаются на сетевые устройства и системы управления, используя даже уязвимости со средним и высоким рейтингом. Поэтому своевременное обновление остаётся главным способом снизить риски. При этом в случае с Cisco необходимо не только обновить ПО, но и проверить конфигурации граничных устройств на предмет несанкционированных изменений, которые могли быть внесены до установки патча.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20245
- https://www.cve.org/CVERecord?id=CVE-2026-11645
- https://www.cve.org/CVERecord?id=CVE-2026-7473
- https://www.cisa.gov/news-events/alerts/2026/06/09/cisa-adds-three-known-exploited-vulnerabilities-catalog
