Критическая уязвимость в Cisco Catalyst SD-WAN активно эксплуатируется — 10 кластеров угроз и 3 дня на патч

Фото автора

CyberSecureFox Editorial Team

14 мая 2026 года CISA внесла уязвимость CVE-2026-20182 в каталог Known Exploited Vulnerabilities (KEV), установив для федеральных гражданских агентств (FCEB) крайний срок устранения — 17 мая 2026 года, то есть всего три дня. Уязвимость затрагивает Cisco Catalyst SD-WAN Controller и представляет собой обход аутентификации, позволяющий неаутентифицированному удалённому атакующему получить административные привилегии на целевой системе. По данным Cisco Talos, эксплуатация уже ведётся в реальных атаках как минимум одной группировкой, а в совокупности с ранее раскрытыми уязвимостями SD-WAN формируется масштабная кампания с участием не менее десяти различных кластеров угроз.

Технические детали уязвимости

Согласно описанию CISA, CVE-2026-20182 — это уязвимость обхода аутентификации в Cisco Catalyst SD-WAN Controller и Manager. Она позволяет неаутентифицированному удалённому атакующему полностью обойти механизмы аутентификации и получить административный доступ к уязвимой системе. Статус эксплуатации подтверждён включением в каталог CISA KEV.

Затронутые продукты:

  • Cisco Catalyst SD-WAN Controller
  • Cisco Catalyst SD-WAN Manager
  • vManage

Помимо CVE-2026-20182, в активной эксплуатации находятся ещё три связанные уязвимости: CVE-2026-20133, CVE-2026-20128 и CVE-2026-20122. По данным исследователей, при объединении в цепочку эти три уязвимости позволяют удалённому неаутентифицированному атакующему получить несанкционированный доступ к устройству. Сообщается, что они были добавлены в каталог KEV в прошлом месяце.

Атрибуция и контекст угроз

По данным Cisco Talos, активная эксплуатация CVE-2026-20182 с высокой степенью уверенности приписывается группировке, отслеживаемой как UAT-8616. Этот же кластер ранее связывали с использованием уязвимости CVE-2026-20127 для несанкционированного доступа к системам SD-WAN.

Исследователи Cisco Talos отмечают, что после успешной эксплуатации CVE-2026-20182 группировка UAT-8616 выполняла действия, аналогичные тем, что наблюдались при эксплуатации CVE-2026-20127: попытки добавления SSH-ключей, модификация конфигураций NETCONF и эскалация привилегий до уровня root. Предположительно, инфраструктура UAT-8616 пересекается с так называемыми сетями Operational Relay Box (ORB). Следует учитывать, что атрибуция основана на данных одного исследовательского источника и не подтверждена независимо со стороны CISA.

Масштаб кампании: 10 кластеров эксплуатации

Начиная с марта 2026 года, по данным Cisco Talos, как минимум 10 различных кластеров угроз эксплуатируют цепочку из CVE-2026-20133, CVE-2026-20128 и CVE-2026-20122, используя публично доступный код эксплойта. Атакующие развёртывают веб-шеллы на скомпрометированных системах для выполнения произвольных команд bash. Один из таких веб-шеллов на базе JSP получил название XenShell — по имени PoC-кода, опубликованного ZeroZenX Labs.

Разнообразие инструментов и целей кластеров демонстрирует, насколько широк спектр атакующих:

  • Кластеры 1 и 4 (с начала марта 2026) — развёртывание веб-шелла Godzilla и его вариантов
  • Кластеры 2 и 3 (с начала марта 2026) — развёртывание веб-шелла Behinder, XenShell и их комбинаций
  • Кластер 5 (с 13 марта 2026) — вредоносный агент, скомпилированный на базе фреймворка для тестирования на проникновение AdaptixC2
  • Кластер 6 (с 5 марта 2026) — фреймворк управления и контроля Sliver
  • Кластеры 7 и 9 (с середины-конца марта 2026) — криптомайнер XMRig; кластер 9 дополнительно использует инструмент туннелирования gsocket
  • Кластер 8 (с 10 марта 2026) — инструмент сканирования KScan и бэкдор на языке Nim, предположительно основанный на NimPlant, с возможностями файловых операций, выполнения команд bash и сбора системной информации
  • Кластер 10 (с 13 марта 2026) — похититель учётных данных, нацеленный на хеш-дампы администраторов, фрагменты ключей JSON Web Token (JWT) для аутентификации REST API и учётные данные AWS для vManage

Особую тревогу вызывает кластер 10: кража JWT-ключей и AWS-учётных данных vManage означает, что компрометация SD-WAN контроллера может стать точкой входа для латерального перемещения в облачную инфраструктуру организации.

Оценка воздействия

Cisco Catalyst SD-WAN — платформа, широко используемая в корпоративных и государственных сетях для управления распределённой инфраструктурой. Получение административного доступа к контроллеру SD-WAN фактически даёт атакующему контроль над маршрутизацией трафика, политиками безопасности и конфигурацией всей WAN-инфраструктуры организации.

Наличие 10 независимых кластеров эксплуатации, действующих с начала марта 2026 года, указывает на то, что уязвимости массово эксплуатируются уже более двух месяцев. Спектр угроз варьируется от шпионажа (кража учётных данных, установка бэкдоров) до финансово мотивированных атак (криптомайнинг), что говорит о вовлечённости как APT-группировок, так и менее квалифицированных атакующих, использующих публичные эксплойты.

Практические рекомендации

  • Немедленно примените патчи для CVE-2026-20182, CVE-2026-20133, CVE-2026-20128 и CVE-2026-20122 согласно рекомендациям Cisco. Дедлайн CISA для FCEB — 17 мая 2026 года, но для всех организаций приоритет должен быть аналогичным
  • Проведите аудит скомпрометированных систем: проверьте наличие несанкционированных SSH-ключей, изменений в конфигурациях NETCONF, JSP-файлов веб-шеллов (Godzilla, Behinder, XenShell) и признаков эскалации привилегий до root
  • Проверьте учётные данные: ротируйте пароли администраторов, JWT-ключи REST API и AWS-учётные данные, связанные с vManage, особенно если патчи не были установлены до мая 2026 года
  • Ограничьте сетевой доступ к интерфейсам управления SD-WAN Controller и Manager — они не должны быть доступны из интернета
  • Мониторинг: отслеживайте запуск процессов XMRig, обращения к инфраструктуре Sliver и AdaptixC2, а также активность инструментов KScan и gsocket в сети

Трёхдневный дедлайн CISA — беспрецедентно короткий срок, отражающий критичность ситуации. Организациям, использующим Cisco Catalyst SD-WAN, необходимо рассматривать установку патчей как экстренную задачу, а не плановое обновление, и параллельно провести ретроспективный анализ на предмет компрометации начиная с марта 2026 года — учитывая, что эксплуатация ведётся уже более двух месяцев, отсутствие патча с высокой вероятностью означает, что система уже скомпрометирована.

Фото автора

CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

CyberSecureFox

© 2026 INFO

О сайте

О нас

Авторы

Контакты

Редакция

Редакционные стандарты

Исправления

Правовая информация

Политика конфиденциальности

Условия использования