ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Компания Cisco выпустила обновления для устранения уязвимости максимальной степени опасности, позволяющей обойти аутентификацию в контроллере Catalyst SD-WAN, которая, по ее данным, использовалась в ходе отдельных атак.

Уязвимость, обозначенная как CVE-2026-20182, имеет оценку CVSS 10,0.

«Уязвимость в механизме аутентификации пиринга в Cisco Catalyst SD-WAN Controller (ранее SD-WAN vSmart) и Cisco Catalyst SD-WAN Manager (ранее SD-WAN vManage) может позволить неавторизованному удаленному злоумышленнику обойти аутентификацию и получить права администратора на уязвимой системе», — сообщила Cisco.

Крупный производитель сетевого оборудования заявил, что уязвимость связана с неисправностью механизма аутентификации пиринга, которую злоумышленник может использовать, отправляя специально сформированные запросы на уязвимую систему.

Успешная эксплуатация уязвимости может позволить злоумышленнику войти в Cisco Catalyst SD-WAN Controller под внутренней учетной записью пользователя с высокими привилегиями, не являющейся root, а затем использовать ее для доступа к NETCONF и манипулирования сетевой конфигурацией для SD-WAN-фабрики.

Уязвимость затрагивает следующие развертывания:

Cisco SD-WAN для государственных учреждений (FedRAMP)

По данным Rapid7, обнаружившей CVE-2026-20182, этот недостаток имеет параллели с CVE-2026-20127 (оценка CVSS: 10,0) — еще одним критическим обходом аутентификации, затрагивающим тот же компонент. По имеющимся данным, последний эксплуатировался злоумышленником под ником UAT-8616 по крайней мере с 2023 года.

«Эта новая уязвимость, позволяющая обойти аутентификацию, затрагивает службу «vdaemon» через DTLS (UDP-порт 12346), которая является той же самой службой, что и была уязвима для CVE-2026-20127», — заявили исследователи Rapid7 Джона Берджесс и Стивен Фьюер. «Новая уязвимость не является обходом исправления CVE-2026-20127. Это отдельная проблема, расположенная в аналогичной части сетевого стека «vdaemon».

Тем не менее, конечный результат тот же: удаленный неавторизованный злоумышленник может злоупотребить CVE-2026-20182, чтобы стать авторизованным участником целевого устройства и выполнять привилегированные операции.

В своем уведомлении Cisco отметила, что узнала об «ограниченном использовании» этой уязвимости в мае 2026 года, и призвала клиентов как можно скорее установить последние обновления.

Компания также сообщила, что системы Catalyst SD-WAN Controller, доступные через Интернет и имеющие открытые порты, подвержены повышенному риску взлома. Она рекомендует клиентам проверить файл «/var/log/auth.log» на наличие записей, связанных с принятием открытого ключа для vmanage-admin с неизвестных или неавторизованных IP-адресов.

Еще одним индикатором является наличие в журналах подозрительных событий пиринга, включая несанкционированные соединения с пирами, которые происходят в неожиданное время и исходят от неизвестных IP-адресов, либо связаны с типами устройств, несовместимыми с архитектурой среды.