Критические уязвимости в Cisco Catalyst SD-WAN Manager подвергают корпоративные сети опасности из-за активных атак

Корпоративные сети по всему миру оказались под угрозой из-за серии критических уязвимостей в программном обеспечении Cisco Catalyst SD-WAN Manager (ранее известного как SD-WAN vManage). Компания Cisco выпустила экстренные обновления для устранения этих проблем, однако 5 марта 2026 года была вынуждена обновить своё предупреждение, подтвердив факты активной эксплуатации двух из этих уязвимостей злоумышленниками в реальных атаках. Данная ситуация требует немедленного внимания со стороны всех организаций, использующих это решение для управления программно-определяемыми глобальными сетями (SD-WAN).

Детали уязвимости

Проблемы, затрагивающие механизмы аутентификации, повышения привилегий и раскрытия информации, были обнаружены в ходе внутренних испытаний на безопасность, проведённых специалистом Cisco Артуром Видинеевым (Arthur Vidineyev). Наиболее серьёзная из уязвимостей, получившая идентификатор CVE-2026-20129, получила критический базовый балл 9.8 по шкале CVSS. Она позволяет удалённому злоумышленнику, не прошедшему проверку подлинности, получить права уровня "netadmin" через неправильно аутентифицированные запросы к API. Это, по сути, открывает полный административный доступ к системе управления сетью, что является худшим сценарием для любого сетевого администратора. Между тем, другая уязвимость, CVE-2026-20126, с высоким уровнем опасности, позволяет локальному пользователю с низкими привилегиями достичь полного доступа "root" в базовой операционной системе, эксплуатируя недостаточную аутентификацию REST API.

Именно две другие уязвимости, CVE-2026-20122 и CVE-2026-20128, в настоящее время используются хакерами в реальных атаках. Эксплуатация CVE-2026-20122 позволяет авторизованному злоумышленнику перезаписывать произвольные файлы в локальной файловой системе и получать права пользователя "vmanage", что создаёт прямую угрозу целостности всей системы управления. В свою очередь, CVE-2026-20128 связана с раскрытием учетных данных DCA (Device Configuration Archive), что может предоставить атакующим чувствительную информацию для дальнейшего продвижения по сети. Активная эксплуатация означает, что группы киберпреступников или государственные хакеры уже внедрили эти эксплойты в свой арсенал и целенаправленно атакуют незащищённые системы.

Все перечисленные уязвимости затрагивают Cisco Catalyst SD-WAN Manager независимо от конфигурации базового устройства, что делает проблему повсеместной. Важно отметить, что версии программного обеспечения, начиная с 20.18, не подвержены двум наиболее критичным проблемам: CVE-2026-20129 и CVE-2026-20128. Однако для более старых веток выпуска Cisco предоставила исправленные версии: 20.9.8.2, 20.12.6.1, 20.15.4.2 и 20.18.2.1. Ключевым моментом является отсутствие каких-либо временных обходных путей для этих уязвимостей, что делает немедленное обновление программного обеспечения обязательным и единственным эффективным действием для защиты корпоративной сети.

Помимо установки патчей, Cisco рекомендует организациям принять дополнительные меры по усилению защиты. В частности, следует отключить протокол HTTP для веб-интерфейса административного портала, оставив только защищённое HTTPS-соединение. Кроме того, критически важно ограничить доступ к системе управления из интернета, разместив все её компоненты за двухуровневой системой межсетевых экранов и разрешив подключения только с доверенных IP-адресов. Мониторинг также играет важную роль: маршрутизация журналов событий на внешний сервер и постоянный анализ сетевого трафика на предмет аномальной активности могут помочь в раннем обнаружении попыток эксплуатации, даже если обновление по какой-то причине откладывается. В итоге, данная ситуация служит суровым напоминанием о том, что управляющие системы корпоративного уровня являются первостепенной целью для атакующих, а своевременное применение обновлений безопасности остаётся краеугольным камнем любой стратегии кибербезопасности.

Детали уязвимости

Ссылки