В сфере корпоративной информационной безопасности выявлена новая угроза, способная подорвать защиту внутренних сетей крупных организаций. Речь идёт об уязвимости в локальном менеджере лицензий Cisco Smart Software Manager On-Prem (SSM On-Prem), который многие компании используют для изолированного управления программным обеспечением. Опасность заключается в том, что этот продукт, по замыслу развёрнутый внутри защищённого периметра и считающийся доверенным, теперь может стать лёгкой добычей для внешних атакующих. Уязвимость, получившая идентификатор CVE-2026-20160, оценивается по шкале CVSS в 9.8 баллов из 10, что соответствует категории критических. Её эксплуатация не требует от злоумышленника никаких учётных данных, а успешная атака предоставляет полный контроль над устройством с правами суперпользователя.
Узявимость CVE-2026-20160
Суть проблемы кроется в ошибке конфигурации одной из внутренних служб устройства. По данным исследователей, эта служба, которая не должна быть доступна извне, оказалась незащищённой. В результате, отправив специально сформированный запрос к определённому API-интерфейсу (программному интерфейсу приложения), атакующий может полностью обойти проверку подлинности. После этого он получает возможность выполнять произвольные команды на операционной системе устройства с наивысшими привилегиями, то есть в качестве пользователя root. Это предоставляет злоумышленнику неограниченные возможности: от кража конфиденциальных данных до установки вредоносного программного обеспечения.
Особую тревогу вызывает типичное место развёртывания уязвимого устройства в корпоративной инфраструктуре. Cisco SSM On-Prem предназначен для локального управления лицензиями, что позволяет компаниям не выносить эти данные в публичное облако. Поэтому данный сетевой аппаратный модуль или виртуальная машина обычно размещаются глубоко внутри внутренней сети, в сегментах с высоким уровнем доверия. В случае компрометации такой системы злоумышленник получает не просто доступ к одному устройству, а мощный плацдарм для дальнейшего продвижения по корпоративной сети. С этой точки атаки возможно проведение горизонтального перемещения к другим критически важным серверам и рабочим станциям, кража операционных данных и установка механизмов долгосрочного закрепления в системе для шпионажа или подготовки будущих атак.
Корпорация Cisco подтвердила, что для эксплуатации данной уязвимости не требуется аутентификация, что делает её исключительно простой для удалённого использования при условии достижимости целевой системы. Компания также заявила, что не существует временных обходных путей для устранения риска. Единственным эффективным решением является немедленное обновление программного обеспечения. Затронутыми являются версии Cisco Smart Software Manager On-Prem выпусков с 9-202502 по 9-202510. Исправление внесено в версии 9-202601 и новее, на которые и должны перейти все администраторы. Более старые версии, предшествующие релизу 9-202502, данной уязвимости не подвержены.
Спустя неделю после публикации официального бюллетеня Cisco от 1 апреля, эксперты исследовательской команды Horizon3.ai успешно провели обратную разработку уязвимости и 8 апреля представили инструмент для её автоматической проверки. Они выпустили тест NodeZero Rapid Response, который позволяет специалистам по безопасности безопасно проверить свои среды на предмет подверженности атаке через CVE-2026-20160. Организациям настоятельно рекомендуется выполнить эту проверку, установить предоставленный компанией Cisco патч и повторно запустить тест для подтверждения полного устранения уязвимости.
Данный инцидент служит жёстким напоминанием о важности принципа "недоверия по умолчанию" даже к компонентам внутренней сети. Уязвимость в таком доверенном элементе инфраструктуры, как менеджер лицензий, демонстрирует, что угроза может исходить откуда угодно. Для специалистов по защите информации эта ситуация подчёркивает критическую необходимость регулярного и своевременного обновления всех систем, включая те, что не имеют прямого выхода в интернет, а также важность постоянного мониторинга сетевой активности на предмет аномалий даже во внутренних сегментах. Оперативное применение исправлений остаётся ключевым методом защиты от подобных критических угроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20160
- https://horizon3.ai/attack-research/vulnerabilities/cve-2026-20160/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ssm-cli-execution-cHUcWuNr
