Cisco підтвердила активну експлуатацію вразливості CVE-2026-20245 (CVSS 7.8) у Cisco Catalyst SD-WAN Manager, що дає змогу автентифікованому локальному зловмиснику виконувати довільні команди з правами root шляхом завантаження спеціально сформованого файлу. Патч наразі відсутній. Вразливість впливає на всі типи розгортання — від локальних інсталяцій до хмарних і державних (FedRAMP) конфігурацій. Cisco зафіксувала випадки, коли експлуатація призводила до зміни конфігурації периферійних пристроїв, що створює пряму загрозу цілісності всієї SD-WAN-інфраструктури.
Технічні деталі вразливості
Згідно з офіційним бюлетенем Cisco, вразливість міститься в інтерфейсі командного рядка (CLI) Cisco Catalyst SD-WAN Manager (раніше SD-WAN vManage). Коренева причина — недостатня валідація користувацького введення. Завантажуючи спеціально підготовлений файл у систему, зловмисник може виконати ін’єкцію команд і підвищити привілеї до рівня root.
Типи розгортання, на які поширюється вразливість:
- Локальні інсталяції (On-Prem Deployment)
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud (керований Cisco)
- Cisco SD-WAN for Government (FedRAMP)
Ключове обмеження: для експлуатації CVE-2026-20245 зловмисникові потрібні привілеї рівня netadmin. Cisco прямо зазначає, що отримати такий доступ можна двома способами — за допомогою валідних облікових даних або через експлуатацію однієї з двох вразливостей обходу автентифікації: CVE-2026-20182 або CVE-2026-20127. Інших підтверджених методів отримання початкового доступу компанія не зафіксувала.
Ланцюжок атак: від обходу автентифікації до root
Саме зв’язка вразливостей робить ситуацію особливо небезпечною. CVE-2026-20182 (CVSS 10.0), як повідомляється, є обхідною вразливістю автентифікації, що дає змогу неавтентифікованому віддаленому зловмиснику отримати адміністративні привілеї. Аналогічна за характером вразливість CVE-2026-20127 (NVD) вражає той самий компонент. За даними вихідного матеріалу, обидві вразливості експлуатувалися як вразливості нульового дня.
Таким чином формується двоетапний ланцюжок атаки:
- Початковий доступ: експлуатація CVE-2026-20182 або CVE-2026-20127 для обходу автентифікації та отримання адміністративних привілеїв (netadmin)
- Підвищення привілеїв: завантаження шкідливого файлу через CLI для експлуатації CVE-2026-20245 і отримання доступу рівня root
Цей ланцюжок перетворює вразливість із CVSS 7.8, що вимагає локальної автентифікації, фактично на віддалену атаку з повною компрометацією системи — за умови, що попередні вразливості обходу автентифікації не усунуті.
Спостережувана активність та індикатори компрометації
Cisco повідомила про обмежену кількість випадків, коли експлуатація CVE-2026-20245 призвела до зміни конфігурації, поширеної на периферійні пристрої. Це означає, що зловмисники не лише отримують доступ до керівної платформи, а й здатні впливати на конфігурацію всієї SD-WAN-фабрики — маршрутизаторів і точок доступу на периферії мережі.
Вразливість виявили та повідомили дослідники Google Mandiant — Chester Sng, Pete Boonyakarn і Logeswaran Nadarajan. Хто стоїть за зафіксованою експлуатацією, наразі невідомо.
Для виявлення слідів компрометації Cisco рекомендує перевірити файл /var/log/scripts.log на наявність підозрілих записів. Приклади індикаторів:
- Записи зі шляхами до нестандартних файлів, наприклад:
/usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0 - Легітимні записи для порівняння:
/usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv - Легітимні записи:
/usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv
Особливу увагу слід звернути на нестандартні назви файлів в аргументах скриптів завантаження та на записи, що не відповідають типовим операціям обслуговування.
Масштаби проблеми: системна криза Cisco SD-WAN
За даними вихідного матеріалу, CVE-2026-20245 стала сьомою вразливістю в Cisco SD-WAN, що отримала статус активно експлуатованої в поточному році. Раніше були зафіксовані атаки через CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 і CVE-2022-20775 — на додаток до згаданих CVE-2026-20182 та CVE-2026-20127.
Така концентрація активно експлуатованих вразливостей в одному продукті вказує на стійкий інтерес зловмисників до SD-WAN-інфраструктури як до точки входу в корпоративні мережі. Платформи керування SD-WAN контролюють маршрутизацію, політики безпеки та конфігурацію десятків і сотень периферійних пристроїв — їхня компрометація дає зловмиснику важіль впливу на всю розподілену мережу.
Cisco також попереджає, що системи, доступні з інтернету, перебувають під підвищеним ризиком компрометації.
Рекомендації щодо реагування
Оскільки патч для CVE-2026-20245 наразі відсутній, а обхідні рішення не запропоновані, пріоритетні дії мають бути зосереджені на усуненні попередніх вразливостей у ланцюжку атаки та моніторингу:
- Негайно застосувати виправлення для CVE-2026-20182, випущені 14 травня 2026 року. Це блокує основний вектор отримання початкового доступу, потрібного для експлуатації CVE-2026-20245
- Перевірити файл
/var/log/scripts.logна всіх екземплярах SD-WAN Manager на наявність аномальних записів із нестандартними шляхами до файлів - Обмежити доступ до SD-WAN Manager з інтернету — прибрати керівний інтерфейс із публічного доступу, якщо цього ще не зроблено
- Провести аудит облікових записів із привілеями netadmin — переконатися у відсутності несанкціонованих акаунтів
- Перевірити конфігурації периферійних пристроїв на предмет несанкціонованих змін, з огляду на підтверджені випадки поширення зловмисних конфігурацій на edge-пристрої
Організаціям, які використовують Cisco Catalyst SD-WAN Manager у будь-якому варіанті розгортання, слід розглядати цю ситуацію як інцидент, що потребує негайного реагування: активну експлуатацію підтверджено, патч відсутній, а єдиний доступний захист — усунення попередніх вразливостей автентифікації та посилений моніторинг. Пріоритет номер один — переконатися, що виправлення для CVE-2026-20182 встановлені на всіх екземплярах, а керівні інтерфейси ізольовані від прямого доступу з інтернету.
