Агентство по кибербезопасности и защите инфраструктуры США (CISA) пополнило каталог активно эксплуатируемых уязвимостей новой записью. Речь идёт о проблеме CVE-2026-20182, затрагивающей контроллеры Cisco Catalyst SD-WAN (ранее известные как vSmart) и менеджер той же платформы. Уязвимость получила максимальный балл 10,0 по шкале CVSS 3.1 и статус критической. Её природа - неверная аутентификация (CWE-287). Исследователи из Rapid7 Labs обнаружили брешь в ходе анализа другой похожей уязвимости, которая уже использовалась в реальных атаках.
Детали уязвимости
Суть проблемы кроется в механизме установления пирингового соединения. Контроллеры Cisco Catalyst SD-WAN образуют центральную плоскость управления сетью SD-WAN. Для связи между собой и с пограничными устройствами они используют протокол DTLS на порту 12346 (UDP). Именно через этот порт происходит обмен служебными сообщениями, включая маршрутную информацию. Компрометация данного сервиса означает полный контроль над сетевой фабрикой.
Разберёмся по порядку. При установке DTLS-соединения сервер принимает любой клиентский сертификат - проверка на этом этапе нестрогая. Затем контроллер отправляет запрос CHALLENGE - набор случайных байтов и данные открытого ключа центра сертификации. Клиент должен ответить сообщением CHALLENGE_ACK, в котором указывает свой тип устройства. Именно на этапе обработки этого ответа и происходит решающая ошибка.
В прошивке контроллера есть функция vbond_proc_challenge_ack(), которая для разных типов устройств применяет свою логику проверки. Для vSmart (тип 3) и vManage (тип 5) выполняется проверка сертификатов и поиск дубликатов серийных номеров. Для vEdge (тип 1) проверяется аппаратный сертификат, подпись, идентификатор платы и одноразовый пароль. А вот для типа vHub (тип 2)… проверки нет вообще. Код просто не содержит условного блока для этого значения. В результате после получения CHALLENGE_ACK с типом vHub функция безусловно устанавливает флаг аутентификации пира в истину и возвращает успех. Никаких учётных данных, подписанного сертификата или знания топологии SD-WAN для этого не требуется.
После того как злоумышленник получил статус аутентифицированного пира, он может отправить приветственное сообщение Hello. Обработчик Hello проверяет, установлен ли флаг аутентификации, - и, поскольку он уже true, пир переходит в состояние UP. Теперь атакующий - полноправный участник плоскости управления.
Но самое опасное - это постаутентификационные действия. Исследователи обнаружили, что любой аутентифицированный пир может отправить сообщение типа 14 (MSG_VMANAGE_TO_PEER). Его обработчик открывает в режиме добавления файл /home/vmanage-admin/.ssh/authorized_keys на контроллере и дописывает туда переданный в сообщении ключ. Никакой проверки - ключ просто добавляется. Пользователь vmanage-admin - это внутренняя служебная учётная запись с высокими привилегиями, которая используется для связи между плоскостью управления и менеджментом. Таким образом, атакующий превращает временное пиринговое соединение в постоянный доступ без необходимости знать какие-либо пароли.
Итоговая цепочка атаки выглядит так: DTLS-рукопожатие с любым сертификатом → получение CHALLENGE → отправка CHALLENGE_ACK с типом vHub → флаг аутентификации установлен → отправка Hello → пир становится UP → отправка сообщения с SSH-ключом → ключ добавлен в authorized_keys → злоумышленник заходит по SSH на порт NETCONF (TCP 830) как пользователь vmanage-admin и может выполнять произвольные NETCONF-команды. С их помощью можно изменить конфигурацию всей SD-WAN фабрики, перенаправить трафик, перехватить данные или нарушить работу сети.
Компания Cisco уже выпустила исправления. Патчи доступны для поддерживаемых версий: 20.9.9.1, 20.12.5.4, 20.12.6.2, 20.12.7.1, 20.15.4.4, 20.15.5.2, 20.18.2.2, 26.1.1.1. Более старые релизы, достигшие конца поддержки, необходимо мигрировать на актуальные. Обходных мер защиты не существует - только обновление.
Для администраторов сетей SD-WAN это означает, что промедление с установкой патча недопустимо. Уязвимость уже попала в каталог CISA, что указывает на реальное использование. Учитывая простоту эксплуатации и отсутствие необходимости в аутентификации, атака может быть проведена удалённо любым злоумышленником, имеющим доступ к порту 12346 контроллера. Рекомендуется как можно скорее проверить версии программного обеспечения и применить обновления согласно таблице исправлений. Также стоит ограничить доступ к порту DTLS на межсетевых экранах до доверенных адресов, хотя это лишь временная мера. Полная уверенность в безопасности даст только установка исправленной прошивки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20182
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
- https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalog
- https://www.rapid7.com/blog/post/ve-cve-2026-20182-critical-authentication-bypass-cisco-catalyst-sd-wan-controller-fixed/
