В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая запись с идентификатором BDU:2026-07274. Она касается критической проблемы в продукте Cisco Secure Workload (ранее известном как Tetration). Это средство защиты рабочих нагрузок в мультиоблачных центрах обработки данных. Уязвимость получила обозначение CVE-2026-20223. Её базовый вектор по системе оценки критичности уязвимостей (CVSS) набрал максимальные десять баллов. Это означает критический уровень опасности. Ситуация осложняется тем, что в открытом доступе уже существует готовый эксплойт. То есть злоумышленники могут воспользоваться готовой программой для атаки.
Детали уязвимости
Уязвимость связана с отсутствием аутентификации для критичной функции. Конкретно речь идёт об интерфейсе REST API. REST API - это способ взаимодействия программных компонентов через определённые команды по сети. В данном случае через такой интерфейс можно управлять политиками безопасности и конфигурациями всей системы защиты. Разработчики по какой-то причине не предусмотрели обязательной проверки подлинности для этого интерфейса. Иными словами, любой внешний пользователь, имеющий доступ к сети, где работает Cisco Secure Workload, может посылать команды без пароля или сертификата.
Это классическая ошибка архитектуры, описанная в общем перечне типов ошибок программного обеспечения (CWE) под номером CWE-306 ("отсутствие аутентификации для критичной функции"). Последствия эксплуатации крайне серьёзны. Нарушитель, действующий удалённо, может не только получить доступ к конфиденциальной информации, но и изменить конфигурацию системы. В условиях мультиоблачной среды это означает фактическую утрату контроля над политиками безопасности. Атакующий может отключить защиту на конкретных виртуальных машинах, открыть доступ к критичным данным или даже использовать скомпрометированную систему как плацдарм для дальнейшего проникновения в облачную инфраструктуру.
Уязвимость затрагивает несколько линеек продукта. Версии Cisco Secure Workload до 3.10.8.3 находятся под угрозой. Также подвержены проблеме версии до 4.0.3.17. Кроме того, полностью уязвима вся ветка 3.9 и все более ранние версии. Продукт позиционируется как средство защиты рабочих нагрузок для мультиоблачных центров обработки данных. Его используют крупные предприятия, банки и государственные структуры. Соответственно, круг потенциальных жертв широк.
Производитель уже выпустил обновления, которые устраняют проблему. Патчи доступны в составе версий 3.10.8.3 и 4.0.3.17. В официальном бюллетене безопасности Cisco настоятельно рекомендует обновить программное обеспечение немедленно, поскольку эксплойт уже опубликован на GitHub. Судя по описанию, эксплойт предоставляет возможность злоумышленнику выполнять произвольные запросы к API без аутентификации. Это значительно снижает порог входа для атак: не нужно искать дополнительных уязвимостей для проникновения в сеть, если внешний интерфейс управления уже доступен.
Стоит отметить, что проблема классифицируется как уязвимость архитектуры. Это значит, что её нельзя исправить простым изменением конфигурации или установкой дополнительных средств защиты на уровне сети. Требуется именно обновление программного кода. Временные меры, такие как ограничение доступа к портам API по IP-адресам, могут снизить риск, но не устраняют его полностью. Злоумышленник, находящийся внутри периметра сети (например, через скомпрометированную учётную запись сотрудника или через стороннее облачное приложение), всё равно сможет воспользоваться уязвимостью.
Для специалистов по информационной безопасности сейчас первоочередная задача - провести инвентаризацию систем, на которых установлен Cisco Secure Workload. Необходимо проверить версии продукта и в кратчайшие сроки установить патчи. Если по каким-либо причинам прямое обновление невозможно, следует изолировать интерфейс REST API от внешних сетей с помощью межсетевых экранов (firewall) и систем обнаружения вторжений (IDS). Однако это лишь временная мера.
В контексте современных угроз интересно другое. Уязвимость в продукте, который сам предназначен для защиты, подрывает саму идею многоуровневой безопасности. Когда средство защиты само становится точкой входа для атаки, это наносит двойной удар: помимо технического ущерба, страдает доверие к вендору. Cisco - один из лидеров рынка сетевого оборудования и решений безопасности. Подобные инциденты напоминают о том, что ни один продукт не застрахован от ошибок проектирования.
Таким образом, критическая уязвимость в Cisco Secure Workload требует немедленного внимания. Это не просто очередная ошибка в коде. Это проблема архитектурного уровня, которая ставит под угрозу всю экосистему мультиоблачной защиты. Игнорировать её нельзя. Каждая минута промедления увеличивает вероятность компрометации.
Ссылки
- https://bdu.fstec.ru/vul/2026-07274
- https://www.cve.org/CVERecord?id=CVE-2026-20223
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csw-pnbsa-g8WEnuy
- https://github.com/HORKimhab/CVE-2026-20223
