Пријави инцидент
Пријави инцидент

Cisco предупредува за непоправена SD-WAN zero-day ранливост што се искористува во напади

Објавено: 05.06.2026

Во четврток, Cisco предупреди за сериозна zero-day ранливост во Cisco Catalyst SD-WAN Manager (евидентирана како CVE-2026-20245), за која сè уште нема безбедносна закрпа и која активно се искористува во напади за добивање root привилегии.

Ранливоста ги погодува сите типови на распоредување (deployment), вклучувајќи:

  • On-Prem Deployment
  • Cisco SD-WAN Cloud-Pro
  • Cisco SD-WAN Cloud (Cisco Managed)
  • Cisco SD-WAN for Government (FedRAMP)

Во безбедносното известување објавено во четвртокот, Cisco наведува дека проблемот произлегува од недоволна валидација на податоците внесени од корисникот, што може да им овозможи на локални напаѓачи со ограничени привилегии да извршуваат произволни команди со root привилегии.

„Напаѓач може да ја искористи оваа ранливост со поставување специјално изработена датотека на погодениот систем. Успешната експлоатација може да овозможи извршување на command injection напади и ескалација на привилегиите до root корисник“, објаснува компанијата.

„За да се искористи оваа ранливост, напаѓачот мора да има netadmin привилегии на погодениот систем. Тоа бара валидни кориснички акредитиви или искористување на ранливостите CVE-2026-20182 или CVE-2026-20127. Cisco не е запознаен со успешна експлоатација преку други методи“, додава компанијата.

Cisco исто така соопшти дека забележала ограничен број случаи во кои искористувањето на оваа ранливост резултирало со испраќање изменети конфигурации кон edge уредите.

Софтверот, порано познат како SD-WAN vManage, им овозможува на администраторите да следат и управуваат со до 6.000 Catalyst SD-WAN уреди преку единствена контролна табла (dashboard).

Тимот за одговор на безбедносни инциденти на производи на Cisco (PSIRT) дознал за активната експлоатација на CVE-2026-20245 во јуни, откако ранливоста била пријавена од Mandiant, компанија за сајбер-безбедност во рамките на Google Cloud. Сепак, Mandiant не објавил дополнителни технички детали.

Наместо тоа, компанијата споделила индикатори за компромитација (IOC) и ги предупредила администраторите да ја проверат датотеката:

/var/log/scripts.log

на нивните SD-WAN системи за обиди за поставување (upload) на tenant конфигурациски податоци кон vSmart контролерите со цел добивање повисоки привилегии преку легитимни команди.

Cisco препорачува организациите внимателно да ги анализираат овие логови и да истражат секоја сомнителна активност што може да укажува на обид за компромитација на системот.

Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0

„За помош при утврдување дали Cisco Catalyst SD-WAN Manager е компромитиран, корисниците можат да отворат случај кај Cisco TAC (Technical Assistance Center)“, додаде компанијата, советувајќи ги администраторите најпрво да генерираат admin-tech датотека која ќе помогне при анализата и истрагата.

Безбедносни закрпи сè уште не се достапни

Минатиот месец Cisco означи уште една ранливост со максимална критичност во Catalyst SD-WAN Controller (CVE-2026-20182), која овозможува заобиколување на автентикацијата и активно се искористувала како zero-day ранливост за добивање административни привилегии на незакрпени уреди.

Иако Cisco сè уште нема објавено безбедносни закрпи за CVE-2026-20245, компанијата им препорача на корисниците да ги надградат своите системи на верзиите што го поправаат CVE-2026-20182, кои беа објавени на 14 мај.

Во февруари, Cisco ја поправи уште една безбедносна ранливост во Catalyst SD-WAN Manager поврзана со откривање чувствителни информации (CVE-2026-20133). Кон крајот на април, американската агенција CISA предупреди дека оваа ранливост активно се искористува во реални напади.

Само две недели подоцна, Cisco предупреди дека уште две ранливости:

  • CVE-2026-20128
  • CVE-2026-20122

исто така се злоупотребуваат од напаѓачи во реални средини.

Во март, компанијата ја поправи и означи како критична ранливоста CVE-2026-20127, која овозможува заобиколување на механизмите за автентикација. Според Cisco, оваа ранливост се користела во zero-day напади најмалку од 2023 година.

Во последните неколку години, CISA има евидентирано вкупно 90 Cisco ранливости кои биле активно злоупотребувани во напади.

Од нив:

  • 4 ранливости биле поврзани со Cisco Catalyst SD-WAN Manager
  • 6 ранливости биле искористувани од ransomware групи и операции

Овие бројки дополнително ја нагласуваат важноста на навременото ажурирање на Cisco системите и внимателното следење на безбедносните предупредувања за SD-WAN инфраструктурата.

Извори:

  • Bleeping Computer – Cisco warns of unpatched SD-WAN zero-day exploited in attacks Bleeping Computer