Специалисты по кибербезопасности предупреждают о критической уязвимости в программном средстве для управления лицензиями Cisco Smart Software Manager On-Prem (SSM On-Prem). Обнаруженная проблема, зарегистрированная в Банке данных угроз (BDU) под номером BDU:2026-04595, позволяет удаленному злоумышленнику получить полный контроль над уязвимым сервером. Уязвимость, получившая идентификатор CVE-2026-20160, связана с некорректным разграничением доступа к данным в веб-интерфейсе, что в итоге приводит к возможности выполнения произвольных команд.
Детали уязвимости
Ключевая опасность заключается в том, что успешная эксплуатация позволяет запускать команды с максимальными привилегиями пользователя root. Следовательно, злоумышленник может не только украсть конфиденциальную информацию о лицензировании и инфраструктуре, но и установить на сервер вредоносное ПО, развернуть шифровальщик (ransomware) или создать механизм постоянного присутствия (persistence) в корпоративной сети. Учитывая роль SSM On-Prem как централизованного инструмента управления лицензиями Cisco, компрометация этого компонента представляет значительный риск для всей ИТ-среды организации.
Оценка по методологии CVSS подтверждает критический характер угрозы. Базовая оценка CVSS 2.0 достигает максимального значения 10.0, а оценка по более современной версии CVSS 3.1 составляет 9.8 баллов из 10 возможных. Все три вектора атаки - по конфиденциальности, целостности и доступности - оцениваются как высокие. Это означает, что уязвимость может быть использована удаленно, без необходимости аутентификации и с минимальной сложностью эксплуатации. Подобные характеристики делают ее потенциально привлекательной целью для широкого круга угроз, включая автоматизированные атаки.
Уязвимости подвержены все версии Cisco Smart Software Manager On-Prem, выпущенные до обновления, датированного январем 2026 года. Производитель классифицировал ошибку как CWE-668, или «раскрытие ресурса для ошибочной области». Данный тип уязвимости архитектуры возникает, когда система предоставляет доступ к ресурсу неавторизованным субъектам или в непредназначенном для этого контексте. В данном случае некорректная обработка данных в веб-интерфейсе открыла путь для эскалации привилегий вплоть до выполнения команд операционной системы.
Компания Cisco оперативно отреагировала на обнаружение проблемы. Уязвимость уже подтверждена вендором и считается устраненной. Единственной рекомендованной мерой защиты является немедленное обновление программного обеспечения до версии, выпущенной не ранее января 2026 года. Все необходимые патчи и подробное описание проблемы опубликованы в официальном бюллетене безопасности по ссылке, указанной в записи BDU. Администраторам настоятельно рекомендуется применить обновление внепланово, не дожидаясь регулярного цикла обслуживания.
На текущий момент информация о наличии активных эксплойтов в открытом доступе или о случаях реального использования уязвимости в атаках уточняется. Однако исторически подобные критические уязвимости в сетевых продуктах крупных вендоров быстро привлекают внимание исследователей и киберпреступных групп. Поэтому период между публикацией бюллетеня и появлением первых попыток эксплуатации может быть крайне коротким. Отсутствие подтвержденных атак на данный момент не должно становиться причиной для отсрочки установки патча.
Данный инцидент в очередной раз подчеркивает важность своевременного управления обновлениями для всех компонентов корпоративной инфраструктуры, включая вспомогательные системы, такие как менеджеры лицензий. Эти системы часто обладают высокими привилегиями и широким доступом к данным, что делает их ценными целями для атакующих. Регулярный мониторинг источников, таких как базы данных уязвимостей (например, BDU) и бюллетени вендоров, является критически важной практикой для любой службы безопасности (SOC). Оперативное применение исправлений остается наиболее эффективным способом защиты от подобных угроз, позволяя закрыть окно возможностей для потенциальных нарушителей до начала активной эксплуатации.
Ссылки
- https://bdu.fstec.ru/vul/2026-04595
- https://www.cve.org/CVERecord?id=CVE-2026-20160
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ssm-cli-execution-cHUcWuNr
