Компания Cisco сообщила об уязвимости с максимальным уровнем критичности, позволяющей обойти аутентификацию и затрагивающей платформы Catalyst SD-WAN Controller и Catalyst SD-WAN Manager. Компания предупредила, что эта уязвимость уже эксплуатируется в реальных атаках.
Это сообщение последовало за ранее обнаруженной уязвимостью обхода аутентификации, которую Cisco устранила в феврале. В последнем бюллетене компания заявила, что новая ошибка была выявлена в ходе расследования ранее раскрытой проблемы.
«Уязвимость в механизме аутентификации одноранговых узлов (peering authentication) в Cisco Catalyst SD-WAN Controller, ранее известном как SD-WAN vSmart, и Cisco Catalyst SD-WAN Manager, ранее известном как SD-WAN vManage, может позволить неаутентифицированному удаленному злоумышленнику обойти аутентификацию и получить административные привилегии в затронутой системе», — говорится в бюллетене Cisco.
Компания также подтвердила, что ей стало известно об «ограниченной эксплуатации» этой уязвимости в мае 2026 года. Однако подробности об атаке или причастных злоумышленниках раскрыты не были.
Уязвимость нулевого дня теперь устранена с помощью обновлений программного обеспечения, и организациям рекомендуется немедленно применить исправления, поскольку обходных путей для устранения этой ошибки не существует.
Злоумышленники создают соединение для получения административного доступа
По данным Cisco, уязвимость связана с некорректной проверкой в процессе аутентификации, используемой для установки управляющих соединений между SD-WAN устройствами. Злоумышленник может удаленно воспользоваться этой проблемой, отправив специально сформированные запросы на установку управляющего соединения на целевую систему.
Успешная эксплуатация позволит злоумышленнику обойти аутентификацию, установить себя в качестве доверенного однорангового узла и получить административные привилегии на затронутом устройстве.
«Успешная эксплуатация может позволить злоумышленнику войти в затронутый Cisco Catalyst SD-WAN Controller под учетной записью внутреннего, высокопривилегированного пользователя, не являющегося root», — заявила Cisco. «Используя эту учетную запись, злоумышленник сможет получить доступ к NETCONF, что, в свою очередь, позволит ему изменять конфигурацию сети SD-WAN fabric».
Проблема, отслеживаемая как CVE-2026-20182, получила максимальный рейтинг CVSS 10.0. Компания отметила, что проблема не зависит от конфигурации, что означает: уязвимые системы остаются подверженными риску независимо от настроек, специфичных для развертывания.
Cisco выразила благодарность Стивену Фьюеру (Stephen Fewer), старшему ведущему исследователю безопасности, и Джона Бургессу (Jonah Burgess), старшему исследователю безопасности, обоим из Rapid7, за обнаружение и сообщение об этой ошибке.
Активная эксплуатация ускоряет установку исправлений
Cisco сообщила об осведомленности об попытках эксплуатации в мае и настоятельно рекомендовала клиентам немедленно обновиться до исправленной версии.
Вскоре после раскрытия информации уязвимость была добавлена в каталог известных эксплуатируемых уязвимостей Агентства по кибербезопасности и защите инфраструктуры (CISA). В ведомстве заявили: «Соблюдайте применимые указания BOD 22-01 для облачных сервисов или прекратите использование продукта, если смягчающие меры недоступны».
Американский надзорный орган в области кибербезопасности установил для федеральных исполнительных агентств срок до 17 мая для установки исправлений.
«Клиентам рекомендуется обновиться до соответствующей исправленной версии программного обеспечения», — заявили Фьюер и Бургесс в посте в блоге, упомянув исправленные версии ПО, устраняющие уязвимость в версиях от 20.9 до 26.1.1. «Обходных путей, устраняющих эту уязвимость, не существует».
Наряду с программными исправлениями Cisco опубликовала оперативные руководства, чтобы помочь организациям выявлять потенциально вредоносные управляющие соединения.
В бюллетене администраторам предписывалось проверить существующие отношения одноранговых соединений управления с помощью команды «show control connections» и проверить всех подключенных одноранговых узлов, особенно тех, которые связаны с системами SD-WAN Manager.
Организациям, подозревающим компрометацию, рекомендуется обращаться в службу технической поддержки Cisco Technical Assistance Center и собирать диагностическую информацию с затронутых устройств.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
