9 червня 2026 року Агентство з кібербезпеки та захисту інфраструктури США (CISA) внесло три вразливості до каталогу Known Exploited Vulnerabilities (KEV), підтвердивши факт їх активної експлуатації. Серед них — критичний дефект у мережевому обладнанні Arista, для якого виробник принципово відмовився випускати виправлення, вразливість у Cisco Catalyst SD-WAN Manager з можливістю виконання команд від імені root та помилка в рушії V8 браузера Google Chrome, що дає змогу віддаленого виконання коду. Федеральним агентствам США приписано усунути загрози до 23 червня 2026 року.
Технічні деталі вразливостей
CVE-2026-20245 — Cisco Catalyst SD-WAN Manager
Вразливість CVE-2026-20245 (CVSS 7.8) пов’язана з некоректною обробкою кодування або екранування вихідних даних у Cisco Catalyst SD-WAN Manager. Згідно з наявними даними, автентифікований локальний зловмисник може виконати довільні команди з привілеями root, передавши спеціально сформований файл уразливій системі. Попри вимогу локального доступу та автентифікації, ескалація до root робить цю вразливість серйозною загрозою для організацій, які використовують інфраструктуру SD-WAN Cisco.
CVE-2026-11645 — Google Chrome V8
Вразливість CVE-2026-11645 (CVSS 8.8) є помилкою читання та запису за межами виділеного буфера в JavaScript-рушії V8 браузера Google Chrome. Повідомляється, що віддалений зловмисник може домогтися виконання довільного коду всередині пісочниці браузера через спеціально підготовлену HTML-сторінку. Це найвищий бал CVSS серед трьох доданих вразливостей, а вектор атаки — через вебсторінку — робить її потенційно масовою.
CVE-2026-7473 — Arista EOS
Вразливість CVE-2026-7473 (CVSS 6.9) зачіпає Arista Extensible Operating System (EOS) і заслуговує на особливу увагу через рішення вендора не випускати патч. Проблему класифіковано як неповне порівняння з відсутніми факторами перевірки: на задіяних платформах із налаштованою декапсуляцією тунелів (VXLAN, GRE або групи декапсуляції) комутатор некоректно обробляє та пересилає неочікувані тунельовані пакети, якщо їхня IP-адреса призначення збігається з налаштованою IP-адресою для декапсуляції.
Коренева причина — комутатор не перевіряє тип тунельного протоколу, що призводить до обробки нелегітимного тунельного трафіку. Зачеплено серії обладнання:
- Arista 7020R
- Arista 7280R/R2
- Arista 7500R/R2
Для успішної експлуатації пристрій має бути налаштований як кінцева точка тунелю з IP-адресою декапсуляції — наприклад, як VXLAN VTEP, кінцева точка GRE-тунелю або з налаштованою групою декапсуляції IP.
Відмова Arista від випуску патча: аналіз ситуації
Найбільш нетиповий аспект цього інциденту — офіційна позиція Arista: компанія підтвердила факт експлуатації CVE-2026-7473 у реальних атаках, однак заявила, що патч випускатися не буде. Причина — ризик порушення роботи наявних конфігурацій у розгорнутих середовищах. Виявлення вразливості приписують дослідникам із Comcast: Скотту Крістіансену, Лукасу Пейтцу, Річу Комптону та Джонатану Девісу.
Це ставить операторів мережевого обладнання Arista у складне становище: вразливість активно експлуатується, внесена до каталогу KEV, але єдиний шлях захисту — ручне застосування обхідних заходів. Для федеральних агентств США, зобов’язаних дотримуватися директиви BOD 22-01, це означає необхідність реалізації митигацій у стислі терміни без можливості просто встановити оновлення.
Оцінка впливу
Три вразливості охоплюють принципово різні сегменти інфраструктури. CVE-2026-20245 загрожує централізованому керуванню SD-WAN — компрометація менеджера може надати зловмиснику контроль над усією програмно-визначеною мережею. CVE-2026-11645 у Chrome V8 зачіпає практично будь-яку організацію, що використовує браузер на базі Chromium, хоча виконання коду обмежене пісочницею. CVE-2026-7473 в Arista EOS становить загрозу для дата-центрів і великих мережевих інфраструктур, де VXLAN та GRE тунелі є стандартними елементами архітектури.
Відсутність патча для Arista EOS створює довгостроковий ризик: правила ACL потребують постійного супроводу й можуть бути налаштовані некоректно, особливо у складних середовищах із динамічної маршрутизацією.
Практичні рекомендації
Для Arista EOS (CVE-2026-7473):
- Перевірити, чи налаштовано пристрій як кінцеву точку тунелю (VXLAN VTEP, GRE endpoint, IP decap-group)
- Застосувати списки контролю доступу (ACL) на вищерозташованих пристроях для фільтрації нелегітимного тунельного трафіку
- Альтернативно — налаштувати ACL безпосередньо на задіяних комутаторах для блокування неочікуваної декапсуляції
- Мета обох стратегій: дозволити лише легітимний тунельний трафік або вибірково блокувати шкідливий
Для Cisco SD-WAN Manager (CVE-2026-20245):
- Встановити оновлення від Cisco, щойно воно стане доступним
- Обмежити локальний доступ до систем керування SD-WAN, мінімізувати кількість привілейованих облікових записів
- Контролювати завантаження файлів на платформу керування
Для Google Chrome (CVE-2026-11645):
- Оновити Chrome та всі браузери на базі Chromium до останньої доступної версії
- Переконатися, що механізми автоматичного оновлення активні в корпоративному середовищі
Організаціям, які підпадають під вимоги CISA, необхідно завершити застосування виправлень або митигацій для всіх трьох вразливостей до 23 червня 2026 року. З огляду на відсутність патча для Arista EOS, пріоритетом має стати негайна перевірка конфігурацій тунельних кінцевих точок на задіяних серіях обладнання та розгортання ACL-фільтрації — це єдиний доступний наразі захист від CVE-2026-7473.
