Пријави инцидент
Пријави инцидент

Заобиколување на автентикација во Cisco Catalyst SD-WAN Controller активно се злоупотребува за добивање администраторски пристап

Објавено: 15.05.2026

Cisco објави ажурирања за да ја поправи максимално сериозна ранливост за заобиколување на автентикација во Cisco Catalyst SD-WAN Controller, за која е потврдено дека веќе е злоупотребувана во ограничени напади.

Ранливоста, означена како CVE-2026-20182, има CVSS скор 10.0, што претставува највисоко ниво на критичност.

„Ранливост во peering автентикацијата во Cisco Catalyst SD-WAN Controller, порано познат како SD-WAN vSmart, и Cisco Catalyst SD-WAN Manager, порано SD-WAN vManage, може да дозволи неавтентициран, далечински напаѓач да ја заобиколи автентикацијата и да добие администраторски привилегии на засегнатиот систем,“ соопшти Cisco.

Компанијата наведува дека проблемот произлегува од дефект во механизмот за peering автентикација, кој може да се злоупотреби преку испраќање специјално изработени барања кон ранливиот систем. Успешен напад може да му овозможи на напаѓачот да се најави како внатрешен, високо-привилегиран корисник без root пристап, а потоа да го искористи пристапот за NETCONF и да ја манипулира мрежната конфигурација на SD-WAN инфраструктурата.

Ранливоста ги засега следните типови на инсталации:

  • On-Prem (локални) deployments
  • Cisco SD-WAN Cloud
  • Cisco SD-WAN Cloud-Pro
  • Cisco SD-WAN за владини системи (FedRAMP)

Овој тип на пропуст е особено критичен бидејќи SD-WAN контролерите имаат централен пристап до мрежната инфраструктура, што значи дека успешен напад може да резултира со целосна компромитација на мрежни политики, рутирање и безбедносни конфигурации.

Според Rapid7, откриената ранливост CVE-2026-20182 има сличности со CVE-2026-20127 (CVSS скор 10.0), уште една критична ранливост за заобиколување на автентикација која влијае на истиот компонент. За CVE-2026-20127 се вели дека била злоупотребувана од заканувачки актер наречен UAT-8616 уште од најмалку 2023 година.

Истражувачите од Rapid7, Jonah Burgess и Stephen Fewer, објаснуваат дека новата ранливост влијае на сервисот „vdaemon“ преку DTLS (UDP порт 12346), кој е истиот сервис што бил погоден и од CVE-2026-20127.

Тие нагласуваат дека ова не е „patch bypass“ на претходната ранливост, туку сосема различен проблем во сличен дел од мрежниот стек на vdaemon. Сепак, крајниот ефект е ист: далечински, неавтентициран напаѓач може да ја искористи ранливоста за да се претстави како автентициран peer на уредот и да извршува привилегирани операции.

Cisco во своето безбедносно соопштение наведува дека е забележана „ограничена експлоатација“ на ранливоста во мај 2026 година и ги повикува клиентите итно да ги применат најновите ажурирања.

Компанијата дополнително предупредува дека системите Cisco Catalyst SD-WAN Controller кои се изложени на интернет и имаат отворени порти се значително поризични за компромитација. Затоа препорачува администраторите да ги проверуваат логовите /var/log/auth.log за записи од типот:

„Accepted publickey for vmanage-admin“ од непознати или неовластени IP адреси, бидејќи тоа може да укажува на успешен неовластен пристап.

Друг индикатор е присуството на сомнителни peering настани во логовите, вклучувајќи неовластени peer конекции што се случуваат во неочекувани периоди и потекнуваат од непознати IP адреси, или пак вклучуваат типови уреди што не се во согласност со архитектурата на околината во системите како Cisco Catalyst SD-WAN Controller.

Извори:

  • The Hacker News – Cisco Catalyst SD-WAN Controller Auth Bypass Actively Exploited to Gain Admin Access The Hacker News