Компания Cisco выпустила предупреждение об уязвимости высокой степени серьезности, которая затрагивает её программное обеспечение для управления сетями. Проблема, получившая идентификатор CVE-2026-20188 и оценку 7,5 балла по шкале CVSS (стандартный метод оценки уязвимостей), напрямую касается двух ключевых продуктов: Cisco Crosswork Network Controller (CNC) и Cisco Network Services Orchestrator (NSO). Эти платформы используются операторами связи и крупными предприятиями для централизованного управления сетевыми сервисами, поэтому сбой в их работе способен парализовать целые сегменты инфраструктуры.
Уязвимость CVE-2026-20188
В основе уязвимости лежит несовершенный механизм обработки входящих сетевых соединений. А именно - недостаточное ограничение скорости приёма запросов (rate limiting). В обычной ситуации система контролирует, сколько подключений она обрабатывает одновременно, чтобы избежать перегрузки. В данном случае такой контроль отсутствует. Это позволяет неавторизованному злоумышленнику, действующему удалённо, наводнить сервер лавиной запросов на подключение. Поскольку ПО пытается обработать их все без разбора, ресурсы для соединений быстро исчерпываются.
Итогом становится отказ в обслуживании (DoS - Denial-of-Service, атака, направленная на временную недоступность сервиса). Когда ресурсы исчерпаны, система перестаёт отвечать на легитимные запросы. Сетевые администраторы теряют доступ к управлению контроллером или оркестратором. Автоматизированные сервисы, зависящие от этих платформ, также оказываются заблокированы. Важно подчеркнуть: автоматического восстановления не происходит. Чтобы вернуть систему к жизни, администратору необходимо вручную перезагрузить устройство. Только после этого очередь ожидающих соединений очищается, и управление восстанавливается.
Cisco подтвердила, что уязвимость затрагивает все версии CNC и NSO вне зависимости от конфигурации. Для компании-разработчика это означает, что временных обходных путей или настроек, позволяющих заблокировать угрозу без обновления, не существует. Единственный способ устранить проблему - установить исправленную версию программного обеспечения.
Для пользователей Cisco Crosswork Network Controller под угрозой находятся выпуски 7.1 и более ранние. Cisco рекомендует как можно скорее перейти на версию 7.2 или новее. В случае с Cisco Network Services Orchestrator уязвимыми оказались версии 6.3 и старше. Для тех, кто работает на треке 6.4, выпуск 6.4.1.3 уже содержит исправление. Пользователи версии 6.5 не подвержены данной уязвимости.
Стоит отметить, что команда реагирования на инциденты безопасности Cisco (PSIRT) не зафиксировала публичных объявлений об эксплуатации этой уязвимости или активных атак в реальных условиях. Проблема была обнаружена в ходе обработки обращения в техническую поддержку (TAC). Тем не менее, отсутствие зафиксированных атак не снижает срочности обновления. Учитывая, что уязвимость легко воспроизводится удалённо и не требует аутентификации, злоумышленники могут быстро перепрофилировать её под свои цели.
С практической точки зрения, главная рекомендация сетевым специалистам - не откладывать обновление. В первую очередь это касается операторов, чьи сети критически зависят от стабильной работы Cisco CNC и NSO. Даже плановая перезагрузка на несколько часов может обернуться серьёзными финансовыми потерями, особенно в условиях круглосуточного обслуживания клиентов. Кроме того, ручная перезагрузка при DoS-атаке создаёт дополнительное окно для других угроз, пока администратор восстанавливает доступ.
Следует добавить, что эта уязвимость относится к классу проблем, связанных с исчерпанием ресурсов. В отличие от ошибок, позволяющих выполнить код или украсть данные, она блокирует работоспособность системы. Однако в контексте сетевой инфраструктуры отказ в обслуживании может иметь не менее катастрофические последствия. При блокировке контроллера оператор теряет возможность менять конфигурации маршрутизаторов, управлять VPN-каналами или обновлять политики безопасности. Это, в свою очередь, делает сеть уязвимой для других атак, пока администратор вручную не вернёт систему в строй.
Таким образом, рекомендации очевидны: администраторам, использующим Cisco CNC 7.1 и ранее, необходимо немедленно спланировать переход на версию 7.2. Для владельцев Cisco NSO на версиях до 6.4.1.3 включительно - обновиться до 6.4.1.3 или выше. Если организация ещё не перешла на NSO 6.5, это может стать хорошим поводом рассмотреть такой апгрейд, поскольку он не подвержен данной проблеме. При этом важно помнить, что обновление - единственный метод устранения уязвимости: никакие настройки файрвола, IDS/IPS (систем обнаружения и предотвращения вторжений) или ограничения доступа не смогут полностью заблокировать атаку, так как она происходит через легитимный протокол управления.
В заключение стоит отметить, что, хотя группа PSIRT пока не обнаружила активных атак, эта ситуация напоминает о фундаментальном принципе информационной безопасности: уязвимость не становится менее опасной от того, что о ней ещё никто не узнал. Период "нулевого дня" (время между обнаружением уязвимости и появлением исправления) здесь уже завершён, и теперь ответственность за защиту лежит на самих администраторах. Своевременное обновление - единственный способ избежать блокировки критической сетевой инфраструктуры.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20188
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nso-dos-7Egqyc
