Cisco подтвердила активную эксплуатацию уязвимости CVE-2026-20245 (CVSS 7.8) в Cisco Catalyst SD-WAN Manager, позволяющей аутентифицированному локальному атакующему выполнять произвольные команды с правами root через загрузку специально сформированного файла. Патч на данный момент отсутствует. Уязвимость затрагивает все типы развёртывания — от локальных инсталляций до облачных и государственных (FedRAMP) конфигураций. Cisco зафиксировала случаи, когда эксплуатация приводила к изменению конфигурации периферийных устройств, что создаёт прямую угрозу целостности всей SD-WAN-инфраструктуры.
Технические детали уязвимости
Согласно официальному бюллетеню Cisco, уязвимость находится в интерфейсе командной строки (CLI) Cisco Catalyst SD-WAN Manager (ранее SD-WAN vManage). Корневая причина — недостаточная валидация пользовательского ввода. Атакующий, загружая специально подготовленный файл в систему, может выполнить инъекцию команд и повысить привилегии до уровня root.
Затронутые типы развёртывания:
- Локальные инсталляции (On-Prem Deployment)
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud (управляемый Cisco)
- Cisco SD-WAN for Government (FedRAMP)
Ключевое ограничение: для эксплуатации CVE-2026-20245 атакующему необходимы привилегии уровня netadmin. Cisco прямо указывает, что получить такой доступ можно двумя способами — через валидные учётные данные или через эксплуатацию одной из двух уязвимостей обхода аутентификации: CVE-2026-20182 или CVE-2026-20127. Других подтверждённых методов получения начального доступа компания не зафиксировала.
Цепочка атак: от обхода аутентификации до root
Именно связка уязвимостей делает ситуацию особенно опасной. CVE-2026-20182 (CVSS 10.0), как сообщается, представляет собой обход аутентификации, позволяющий неаутентифицированному удалённому атакующему получить административные привилегии. Аналогичная по характеру уязвимость CVE-2026-20127 (NVD) затрагивает тот же компонент. По данным исходного материала, обе уязвимости эксплуатировались как уязвимости нулевого дня.
Таким образом, формируется двухэтапная цепочка атаки:
- Начальный доступ: эксплуатация CVE-2026-20182 или CVE-2026-20127 для обхода аутентификации и получения административных привилегий (netadmin)
- Повышение привилегий: загрузка вредоносного файла через CLI для эксплуатации CVE-2026-20245 и получения root-доступа
Эта цепочка превращает уязвимость с CVSS 7.8, требующую локальной аутентификации, в фактически удалённую атаку с полной компрометацией системы — при условии, что предшествующие уязвимости обхода аутентификации не закрыты.
Наблюдаемая активность и индикаторы компрометации
Cisco сообщила об ограниченном числе случаев, когда эксплуатация CVE-2026-20245 привела к изменению конфигурации, распространённому на периферийные устройства. Это означает, что атакующие не просто получают доступ к управляющей платформе, но и способны влиять на конфигурацию всей SD-WAN-фабрики — маршрутизаторов и точек доступа на периферии сети.
Уязвимость обнаружена и сообщена исследователями Google Mandiant — Chester Sng, Pete Boonyakarn и Logeswaran Nadarajan. Кто стоит за наблюдаемой эксплуатацией, на данный момент не установлено.
Для обнаружения следов компрометации Cisco рекомендует проверить файл /var/log/scripts.log на наличие подозрительных записей. Примеры индикаторов:
- Записи с путями к нестандартным файлам, например:
/usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0 - Легитимные записи для сравнения:
/usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv - Легитимные записи:
/usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv
Особое внимание следует обратить на нестандартные имена файлов в аргументах скриптов загрузки и на записи, не соответствующие типичным операциям обслуживания.
Масштаб проблемы: системный кризис Cisco SD-WAN
По данным исходного материала, CVE-2026-20245 стала седьмой уязвимостью в Cisco SD-WAN, получившей статус активно эксплуатируемой в текущем году. Ранее были зафиксированы атаки через CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 и CVE-2022-20775 — в дополнение к упомянутым CVE-2026-20182 и CVE-2026-20127.
Такая концентрация активно эксплуатируемых уязвимостей в одном продукте указывает на устойчивый интерес злоумышленников к SD-WAN-инфраструктуре как к точке входа в корпоративные сети. Платформы управления SD-WAN контролируют маршрутизацию, политики безопасности и конфигурацию десятков и сотен периферийных устройств — их компрометация даёт атакующему рычаг воздействия на всю распределённую сеть.
Cisco также предупреждает, что системы, доступные из интернета, подвержены повышенному риску компрометации.
Рекомендации по реагированию
Поскольку патч для CVE-2026-20245 на данный момент отсутствует, а обходные пути не предложены, приоритетные действия сосредоточены на устранении предшествующих уязвимостей в цепочке атаки и мониторинге:
- Немедленно применить исправления для CVE-2026-20182, выпущенные 14 мая 2026 года. Это блокирует основной вектор получения начального доступа, необходимого для эксплуатации CVE-2026-20245
- Проверить файл
/var/log/scripts.logна всех экземплярах SD-WAN Manager на наличие аномальных записей с нестандартными путями к файлам - Ограничить доступ к SD-WAN Manager из интернета — убрать управляющий интерфейс из публичного доступа, если это ещё не сделано
- Провести аудит учётных записей с привилегиями netadmin — убедиться в отсутствии несанкционированных аккаунтов
- Проверить конфигурации периферийных устройств на предмет несанкционированных изменений, учитывая подтверждённые случаи распространения вредоносных конфигураций на edge-устройства
Организациям, использующим Cisco Catalyst SD-WAN Manager в любом варианте развёртывания, необходимо рассматривать эту ситуацию как инцидент, требующий немедленного реагирования: активная эксплуатация подтверждена, патч отсутствует, а единственная доступная защита — устранение предшествующих уязвимостей аутентификации и усиленный мониторинг. Приоритет номер один — убедиться, что исправления для CVE-2026-20182 установлены на всех экземплярах, а управляющие интерфейсы изолированы от прямого доступа из интернета.
