Компания Cisco сообщила об обнаружении еще двух уязвимостей в системе безопасности Catalyst SD-WAN Manager, которые активно эксплуатируются в реальных атаках, и настоятельно призвала администраторов обновить уязвимые устройства.
Catalyst SD-WAN Manager (ранее vManage) — это программное обеспечение для управления сетью, которое позволяет администраторам отслеживать и администрировать до 6000 устройств Catalyst SD-WAN из единой централизованной панели управления.
“В марте 2026 года Cisco PSIRT стало известно об активной эксплуатации уязвимостей, описанных в CVE-2026-20128 и CVE-2026-20122, только”, — предупредила компания в обновлении к консультативному уведомлению от 25 февраля, опубликованному здесь.
“Неизвестно о компрометации уязвимостей, описанных в других CVE в этом уведомлении. Cisco настоятельно рекомендует клиентам обновиться до исправленной версии программного обеспечения для устранения этих уязвимостей”.
Уязвимость высокого уровня критичности, связанная с перезаписью произвольных файлов (CVE-2026-20122), может быть использована удаленными злоумышленниками только при наличии действительных учетных данных только для чтения с доступом по API, в то время как уязвимость среднего уровня критичности, связанная с раскрытием информации (CVE-2026-20128), требует наличия у локальных злоумышленников действительных учетных данных vmanage на целевых системах.
Cisco добавила, что эти уязвимости затрагивают программное обеспечение Catalyst SD-WAN Manager независимо от конфигурации устройства.
Эксплуатация уязвимостей нулевого дня в SD-WAN с 2023 года
На прошлой неделе компания также сообщила, что критическая уязвимость обхода аутентификации (CVE-2026-20127) эксплуатировалась в атаках нулевого дня как минимум с 2023 года, что позволяло высококвалифицированным злоумышленникам компрометировать контроллеры и добавлять вредоносных нелегитимных пиров в целевые сети.
Нелегитимные пиры позволяют злоумышленникам внедрять выглядящие легитимными вредоносные устройства, что дает им возможность проникать глубже в скомпрометированные сети.
После совместных уведомлений властей США и Великобритании об активности эксплуатации CISA выпустила Директиву экстренного реагирования 26-03, требующую от федеральных агентств провести инвентаризацию систем Cisco SD-WAN, собрать криминалистические артефакты, обеспечить внешнее хранение журналов, применить обновления и расследовать возможные компрометации, связанные с атаками, нацеленными на CVE-2026-20127 и более старую уязвимость, отслеживаемую как CVE-2022-20775.
Совсем недавно, в среду, Cisco выпустила обновления безопасности для устранения двух уязвимостей максимальной критичности в своем программном обеспечении Secure Firewall Management Center (FMC).
Эти уязвимости — обход аутентификации (отслеживается как CVE-2026-20079) и уязвимость удаленного выполнения кода (RCE) (CVE-2026-20131) — могут быть использованы удаленными неаутентифицированными злоумышленниками для получения root-доступа к базовой операционной системе и выполнения произвольного Java-кода от имени root на необновленных устройствах соответственно.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
