Корпорация Cisco выпустила сразу четыре предупреждения о безопасности, связанных с обнаружением множественных уязвимостей в различных продуктах. Опубликованные 6 мая 2026 года бюллетени затрагивают системы управления IoT-сетями, платформы оркестрации сети, коммутаторы серий SG350 и SG350X, а также популярное решение для голосовой связи Unity Connection. Некоторые из обнаруженных проблем безопасности уже получили высокие оценки по шкале CVSS, причём для устройств SG350 и SG350X исправлений выпущено не будет.
Детали уязвимостей
Наибольшую тревогу вызывает ситуация с коммутаторами Cisco 350 и 350X Series. Производитель прямо заявил, что эти модели вышли из цикла поддержки и не получат обновлений прошивки. Уязвимость, зарегистрированная под идентификатором CVE-2026-20185, связана с некорректной обработкой ошибок при разборе ответов на определённые SNMP-запросы (протокол для управления устройствами в сети). Аутентифицированный злоумышленник может отправить специально сформированный запрос, что вызовет перезагрузку устройства и приведёт к отказу в обслуживании. Примечательно, что проблема проявляется только при включённых двух или более портах Power over Ethernet мощностью 60 ватт. Единственная доступная мера защиты - ограничение доступа к уязвимому идентификатору объекта (OID) через создание специального SNMP-представления.
Не менее опасные бреши обнаружены в системе голосовой связи Cisco Unity Connection. Здесь зафиксированы сразу две уязвимости, способные привести к полной компрометации сервера. Первая из них, CVE-2026-20034, с оценкой 8,8 балла, позволяет аутентифицированному злоумышленнику выполнить произвольный код на устройстве с правами суперпользователя. Атака возможна через отправку специально сформированного API-запроса, при этом для эксплуатации требуются учётные данные пользователя. Вторая уязвимость, CVE-2026-20035, предоставляет неаутентифицированному атакующему возможность осуществлять подделку запросов на стороне сервера (SSRF) через веб-интерфейс Web Inbox, который включён по умолчанию. Успешная атака позволяет отправлять произвольные сетевые запросы от имени уязвимого устройства, что может быть использовано для сканирования внутренней сети или доступа к закрытым ресурсам. Для устранения этих угроз Cisco рекомендует обновить Unity Connection до версий 14SU5 или 15SU4, причём для последней доступен отдельный файл исправления.
Существенные проблемы затронули и инфраструктурные продукты для управления сетями. В системе IoT Field Network Director обнаружены три взаимосвязанные уязвимости, позволяющие аутентифицированному удалённому злоумышленнику совершать целый ряд опасных действий. CVE-2026-20167 может привести к отказу в обслуживании на удалённом маршрутизаторе через отправку специальных данных в веб-интерфейс управления, что вызовет перезагрузку роутера. CVE-2026-20168 представляет собой классическую уязвимость обхода пути, позволяющую читать файлы, к которым у пользователя нет прав доступа. Самая опасная из трёх - CVE-2026-20169 - связана с внедрением команд. Недостаточная проверка вводимых данных даёт возможность злоумышленнику создавать, читать и удалять файлы, а также выполнять ограниченные команды на удалённом маршрутизаторе. Все три бреши закрываются обновлением до версии IoT Field Network Director 5.0.0-117.
Отдельный бюллетень посвящён проблеме в механизме обработки соединений систем Cisco Crosswork Network Controller (CNC) и Cisco Network Services Orchestrator (NSO). Уязвимость CVE-2026-20188 вызвана недостаточной реализацией ограничения частоты входящих сетевых подключений. Злоумышленник может исчерпать доступные ресурсы соединений, отправив огромное количество запросов на уязвимую систему. Это приводит к полной потере работоспособности как самого сервиса, так и зависимых от него компонентов. Восстановление требует ручной перезагрузки сервера. Разработчик подтвердил, что для CNC версии 7.2 и NSO версии 6.5 проблема не актуальна, а для более ранних выпусков необходимо обновление до версий CNC 7.2 или NSO 6.4.1.3 соответственно.
Ситуация с многочисленными уязвимостями в продуктах Cisco в очередной раз напоминает о критической важности своевременного обновления программного обеспечения. Особенно тревожным выглядит отсутствие исправлений для коммутаторов SG350, которые всё ещё могут эксплуатироваться в корпоративных сетях. Специалистам по информационной безопасности настоятельно рекомендуется провести инвентаризацию затронутых устройств и как можно скорее применить доступные исправления или компенсирующие меры защиты. Промедление с обновлением систем Unity Connection и IoT Field Network Director может привести к серьёзным последствиям, вплоть до полного захвата контроля над инфраструктурой злоумышленником.
Ссылки
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-unity-rce-ssrf-hENhuASy
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg350-snmp-dos-GEFZr2Tj
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nso-dos-7Egqyc
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iot-fnd-dos-n8N26Q4u
