Как раз когда сетевые администраторы подумали, что очередь исправлений для Cisco SD-WAN наконец-то начнет сокращаться, Switchzilla подтвердила, что злоумышленники используют новые уязвимости в ее управляющем программном обеспечении SD-WAN.
Недавно обнаруженные уязвимости затрагивают Cisco Catalyst SD-WAN Manager — платформу, ранее известную как vManage, которая находится в центре развертываний SD-WAN во многих организациях.
Один из багов, CVE-2026-20122, имеет оценку CVSS 7.1 и позволяет удаленному злоумышленнику с аутентификацией перезаписывать произвольные файлы в локальной файловой системе. Вторая проблема, CVE-2026-20128, является менее критичной уязвимостью раскрытия информации с оценкой CVSS 5.5, которая может позволить локальному злоумышленнику с аутентификацией получить привилегии пользователя Агента сбора данных (DCA) в затронутой системе.
В консультативном уведомлении, опубликованном на этой неделе, Cisco подтвердила, что атакующие уже используют эти уязвимости: «В марте 2026 года Cisco PSIRT стало известно об активном использовании уязвимостей, описанных в CVE-2026-20128 и CVE-2026-20122».
Как обычно в подобных уведомлениях, Cisco предоставила мало подробностей о том, как используются эти уязвимости или кто стоит за атаками. Компания также отказалась сообщить, связана ли эта активность с киберпреступником, о котором она предупреждала всего за несколько дней до этого.
«Cisco настоятельно рекомендует клиентам обновиться до исправленной версии программного обеспечения для устранения этих уязвимостей», — добавила компания.
Это предупреждение прозвучало всего через неделю после того, как правительства альянса разведсообществ «Пять глаз» предупредили, что злоумышленники активно нацеливаются на инфраструктуру Cisco Catalyst SD-WAN, используя две различные уязвимости.
Одна из них — CVE-2022-20775, уязвимость обхода пути, затрагивающая интерфейс командной строки SD-WAN, которая может привести к повышению привилегий, а другая — CVE-2026-20127, проблема аутентификации максимальной критичности, затрагивающая платформы Catalyst SD-WAN Controller и Manager.
В то время Национальный центр кибербезопасности Великобритании заявил, что злоумышленники компрометируют развертывания SD-WAN, используемые организациями по всему миру.
«Вредоносные киберугрозы нацелены на Cisco Catalyst SD-WAN, используемый организациями по всему миру», — заявило агентство. «Эти злоумышленники компрометируют SD-WAN для добавления вредоносного несанкционированного пира, а затем проводят ряд последующих действий для получения корневого доступа и сохранения постоянного доступа к SD-WAN».
По данным Cisco Talos, использование последней уязвимости было связано с группой, которую компания отслеживает как UAT-8616, которую она описывает как «высококвалифицированного субъекта киберугрозы». Talos сообщила, что имеющиеся доказательства свидетельствуют о том, что баг мог использоваться как минимум с 2023 года, хотя и не связала эту активность с какой-либо конкретной страной.
Остается неясным, связаны ли недавно подтвержденные эксплойты с этой кампанией. Cisco лишь заявила, что две вновь раскрытые уязвимости в настоящее время используются, не предоставив индикаторов компрометации, деталей атаки или атрибуции.
Однако для специалистов по защите, использующих оборудование Cisco SD-WAN, список активно атакуемых багов стал длиннее, а окно для установки исправлений стало немного более срочным. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page
