В конце февраля 2026 года были опубликованы данные о двух критических уязвимостях в ключевых компонентах программно-определяемых сетей (SD-WAN) от Cisco. Речь идет о продуктах Catalyst SD-WAN Manager и Catalyst SD-WAN Controller. Проблемы, зарегистрированные в Банке данных угроз (BDU) под номерами BDU:2026-02321 и BDU:2026-02299 (CVE-2026-20129 и CVE-2026-20127), получили высшие оценки опасности по шкале CVSS. Эксперты предупреждают, что эксплуатация этих недостатков позволяет удаленному злоумышленнику полностью захватить управление сетевой инфраструктурой, не проходя проверку подлинности.
Детали уязвимостей
Первая уязвимость (CVE-2026-20129) затрагивает исключительно Catalyst SD-WAN Manager. Вторая (CVE-2026-20127) представляет еще большую угрозу, так как распространяется и на Manager, и на Controller. Обе ошибки классифицированы как CWE-287 - "неправильная аутентификация". По сути, механизмы проверки подлинности в этих системах содержат фундаментальные изъяны. Следовательно, атакующему достаточно отправить специально сформированный сетевой запрос, чтобы обойти защиту. После этого он получает несанкционированный доступ к конфиденциальной информации или полный контроль над системой.
Уровень угрозы оценивается как исключительно высокий. Базовый балл CVSS 3.1 для CVE-2026-20129 составляет 9.8, а для CVE-2026-20127 - максимальные 10.0. Такие оценки присваиваются уязвимостям, которые можно эксплуатировать удаленно через сеть, без необходимости предварительной аутентификации и без взаимодействия с пользователем. Более того, успешная атака ведет к полной компрометации конфиденциальности, целостности и доступности системы. В случае с CVE-2026-20127 воздействие распространяется на другие компоненты защищаемой сети, что дополнительно повышает риски.
Под угрозой находятся многочисленные версии программного обеспечения. Уязвимость CVE-2026-20129 затрагивает Catalyst SD-WAN Manager версий до 20.9 включительно, а также целые диапазоны релизов вплоть до 20.18.2.1. CVE-2026-20127, в свою очередь, добавляет к этому списку аналогичные версии продукта Catalyst SD-WAN Controller. Таким образом, под ударом оказывается значительная часть развернутых инфраструктур Cisco SD-WAN. Производитель уже подтвердил существование проблем и выпустил исправления.
Особую опасность ситуации придает факт наличия работающего эксплойта для уязвимости CVE-2026-20127. Это означает, что технические детали или готовые инструменты для атаки, вероятно, уже циркулируют в сети. Следовательно, злоумышленники, включая группы APT, могут активно использовать эту брешь для целевых вторжений. Основной целью может стать хищение данных, промышленный шпионаж или подготовка к более масштабным атакам, например, с использованием программ-вымогателей (ransomware).
Cisco рекомендует всем клиентам немедленно обновить уязвимое программное обеспечение до версий, в которых проблемы устранены. Актуальная информация и инструкции по обновлению приведены в официальных бюллетенях безопасности компании. Если немедленное обновление невозможно, следует применить комплекс компенсирующих мер. В частности, необходимо строго ограничить сетевой доступ к интерфейсам управления SD-WAN Manager и Controller с помощью межсетевых экранов. Доступ должен быть разрешен только по принципу "белого списка" с доверенных IP-адресов.
Кроме того, важно минимизировать или полностью исключить доступ к этим системам из интернета. Мониторинг сетевой активности также играет ключевую роль. Использование SIEM-систем поможет вовремя обнаружить подозрительные события. Например, следует обращать внимание на множественные попытки неавторизованного доступа или аномальные запросы к API. Эти меры не устранят уязвимость, но существенно усложнят жизнь атакующим.
Обнаружение подобных критических недостатков в столь важных компонентах корпоративной инфраструктуры служит серьезным напоминанием для всего рынка. SD-WAN-решения централизуют управление сетевым трафиком между филиалами и центрами обработки данных. Поэтому компрометация системы управления фактически означает потерю контроля над всей распределенной сетью организации. Регулярное обновление программного обеспечения и строгое следование принципам сегментации сети остаются обязательными практиками для обеспечения безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-02321
- https://bdu.fstec.ru/vul/2026-02299
- https://www.cve.org/CVERecord?id=CVE-2026-20129
- https://www.cve.org/CVERecord?id=CVE-2026-20127
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
