Корпорация Cisco раскрыла подробности об уязвимости высокого уровня серьезности в платформе управления программно-определяемыми глобальными сетями. Речь идет о продукте Catalyst SD-WAN Manager, ранее известном как vManage. Проблема уже используется злоумышленниками в реальных атаках, что подтверждено данными мониторинга инцидентов.
Уязвимость CVE-2026-20245
Уязвимость получила идентификатор CVE-2026-20245 и оценку 7,8 балла по шкале CVSS. Причина кроется в некорректной проверке входных данных (классификация CWE-116 - неверная проверка вводимых данных) в интерфейсе командной строки Cisco Catalyst SD-WAN Manager. Как пояснили в Cisco, эта ошибка позволяет аутентифицированному атакующему с привилегиями сетевого администратора загрузить специально подготовленный файл. В результате он может выполнить произвольные команды с правами суперпользователя, то есть получить полный контроль над системой.
Группа реагирования на инциденты безопасности продуктов Cisco (PSIRT) подтвердила, что эксплуатация уязвимости уже зафиксирована в ограниченных реальных средах. В наблюдаемых инцидентах злоумышленники использовали эту брешь для внесения несанкционированных изменений в конфигурацию пограничных устройств SD-WAN (программно-определяемых глобальных сетей). Это указывает на попытки закрепиться в сети или манипулировать трафиком после проникновения.
Хотя для атаки требуется аутентификация, получение необходимых привилегий не представляет большой сложности для профессиональных хакеров. Они могут использовать действительные учетные данные, добытые фишингом или утечками, либо объединить эту уязвимость с другими. В частности, Cisco упомянула проблемы CVE-2026-20182 и CVE-2026-20127. Такое сочетание расширяет поверхность атаки: злоумышленники могут комбинировать несколько слабых мест, чтобы получить начальный доступ и повысить свои полномочия в корпоративных средах SD-WAN.
Уязвимость затрагивает все варианты развертывания Cisco Catalyst SD-WAN Manager, независимо от конфигурации. В зону риска попадают как локальные установки, так и облачные версии Cisco SD-WAN Cloud и Cloud-Pro, управляемые средой Cisco, а также системы, сертифицированные по программе FedRAMP (федеральная программа управления авторизацией и рисками для облачных услуг США). Это означает, что уязвимость угрожает широкому кругу организаций - от частных компаний до государственных структур.
Cisco также выпустила индикаторы компрометации (IOCs) - признаки, по которым можно обнаружить следы атаки. Специалистам по безопасности рекомендуется проверять файл scripts.log, расположенный в каталоге /var/log/, на предмет подозрительных записей. Особое внимание стоит обратить на неожиданные загрузки файлов или выполнение команд, упоминающие скрипты вроде vconfd_script_upload_tenant_list.sh. Однако в Cisco предупреждают: такие записи могут быть похожи на обычные административные действия. Поэтому точное обнаружение зависит от анализа базового поведения системы и тщательной корреляции событий.
На момент публикации уведомления компания еще не выпустила исправление или обходной путь. Cisco рекомендует организациям немедленно собрать данные для расследования с помощью команды request admin-tech на всех контрольных компонентах SD-WAN. Это нужно сделать до выполнения любых обновлений. Администраторам следует сохранить логи, проверить конфигурации пограничных устройств на предмет несанкционированных изменений и при подозрении на компрометацию обратиться в центр технической поддержки Cisco TAC. Важный нюанс: будущие патчи не восстановят уже скомпрометированные системы, поэтому потребуются дополнительные меры реагирования на инциденты.
Уязвимость была сообщена компанией Mandiant, что подчеркивает роль команд киберразведки в выявлении активно эксплуатируемых проблем. Учитывая ключевую роль платформ управления SD-WAN в корпоративных сетях, этот инцидент напоминает о важности защиты интерфейсов управления, строгого контроля доступа и непрерывного мониторинга подозрительной активности. Организациям стоит пересмотреть политики аутентификации, внедрить многофакторную защиту и ограничить круг лиц с привилегиями сетевого администратора. Пока патча нет, единственным способом снизить риск остается усиление мониторинга и своевременное выявление признаков внедрения вредоносных скриптов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20245
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
