9 июня 2026 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло три уязвимости в каталог Known Exploited Vulnerabilities (KEV), подтвердив факт их активной эксплуатации. Среди них — критический дефект в сетевом оборудовании Arista, для которого производитель принципиально отказался выпускать исправление, уязвимость в Cisco Catalyst SD-WAN Manager с возможностью выполнения команд от имени root и ошибка в движке V8 браузера Google Chrome, допускающая удалённое выполнение кода. Федеральным агентствам США предписано устранить угрозы до 23 июня 2026 года.
Технические детали уязвимостей
CVE-2026-20245 — Cisco Catalyst SD-WAN Manager
Уязвимость CVE-2026-20245 (CVSS 7.8) связана с некорректной обработкой кодирования или экранирования выходных данных в Cisco Catalyst SD-WAN Manager. По имеющимся данным, аутентифицированный локальный атакующий может выполнить произвольные команды с привилегиями root, передав специально сформированный файл уязвимой системе. Несмотря на требование локального доступа и аутентификации, эскалация до root делает эту уязвимость серьёзной угрозой для организаций, использующих SD-WAN-инфраструктуру Cisco.
CVE-2026-11645 — Google Chrome V8
Уязвимость CVE-2026-11645 (CVSS 8.8) представляет собой ошибку чтения и записи за пределами выделенного буфера в JavaScript-движке V8 браузера Google Chrome. Как сообщается, удалённый атакующий может добиться выполнения произвольного кода внутри песочницы браузера через специально подготовленную HTML-страницу. Это наиболее высокий балл CVSS среди трёх добавленных уязвимостей, а вектор атаки — через веб-страницу — делает её потенциально массовой.
CVE-2026-7473 — Arista EOS
Уязвимость CVE-2026-7473 (CVSS 6.9) затрагивает Arista Extensible Operating System (EOS) и заслуживает особого внимания из-за решения вендора не выпускать патч. Проблема классифицируется как неполное сравнение с отсутствующими факторами проверки: на затронутых платформах с настроенной декапсуляцией туннелей (VXLAN, GRE или группы декапсуляции) коммутатор некорректно обрабатывает и пересылает неожиданные туннелированные пакеты, если их IP-адрес назначения совпадает с настроенным IP декапсуляции.
Корневая причина — коммутатор не проверяет тип туннельного протокола, что приводит к обработке нелегитимного туннельного трафика. Затронуты серии оборудования:
- Arista 7020R
- Arista 7280R/R2
- Arista 7500R/R2
Для успешной эксплуатации устройство должно быть настроено как конечная точка туннеля с IP-адресом декапсуляции — например, как VXLAN VTEP, конечная точка GRE-туннеля или с настроенной группой декапсуляции IP.
Отказ Arista от выпуска патча: анализ ситуации
Наиболее нетипичный аспект этого инцидента — официальная позиция Arista: компания подтвердила факт эксплуатации CVE-2026-7473 в реальных атаках, однако заявила, что патч выпускаться не будет. Причина — риск нарушения работы существующих конфигураций в развёрнутых средах. Обнаружение уязвимости приписывается исследователям из Comcast: Скотту Кристиансену, Лукасу Пейтцу, Ричу Комптону и Джонатану Дэвису.
Это ставит операторов сетевого оборудования Arista в сложное положение: уязвимость активно эксплуатируется, внесена в каталог KEV, но единственный путь защиты — ручное применение обходных мер. Для федеральных агентств США, обязанных соблюдать директиву BOD 22-01, это означает необходимость реализации митигаций в сжатые сроки без возможности просто установить обновление.
Оценка воздействия
Три уязвимости охватывают принципиально разные сегменты инфраструктуры. CVE-2026-20245 угрожает централизованному управлению SD-WAN — компрометация менеджера может дать атакующему контроль над всей программно-определяемой сетью. CVE-2026-11645 в Chrome V8 затрагивает практически любую организацию, использующую браузер на базе Chromium, хотя выполнение кода ограничено песочницей. CVE-2026-7473 в Arista EOS представляет угрозу для дата-центров и крупных сетевых инфраструктур, где VXLAN-фабрики и GRE-туннели являются стандартными элементами архитектуры.
Отсутствие патча для Arista EOS создаёт долгосрочный риск: ACL-правила требуют постоянного сопровождения и могут быть некорректно настроены, особенно в сложных средах с динамической маршрутизацией.
Практические рекомендации
Для Arista EOS (CVE-2026-7473):
- Проверить, настроено ли устройство как конечная точка туннеля (VXLAN VTEP, GRE endpoint, IP decap-group)
- Применить списки контроля доступа (ACL) на вышестоящих устройствах для фильтрации нелегитимного туннельного трафика
- Альтернативно — настроить ACL непосредственно на затронутых коммутаторах для блокировки неожиданной декапсуляции
- Цель обеих стратегий: разрешить только легитимный туннельный трафик или выборочно заблокировать вредоносный
Для Cisco SD-WAN Manager (CVE-2026-20245):
- Установить обновление от Cisco, когда оно станет доступно
- Ограничить локальный доступ к системам управления SD-WAN, минимизировать число привилегированных учётных записей
- Контролировать загрузку файлов на платформу управления
Для Google Chrome (CVE-2026-11645):
- Обновить Chrome и все браузеры на базе Chromium до последней доступной версии
- Убедиться, что механизмы автоматического обновления активны в корпоративной среде
Организациям, подпадающим под требования CISA, необходимо завершить применение исправлений или митигаций для всех трёх уязвимостей до 23 июня 2026 года. Учитывая отсутствие патча для Arista EOS, приоритетом должна стать немедленная проверка конфигураций туннельных конечных точек на затронутых сериях оборудования и развёртывание ACL-фильтрации — это единственная доступная мера защиты от CVE-2026-7473 на данный момент.
