Антипов объясняет механику бизнеса на взаимной ненависти
Image

Они учат мужчин ненавидеть женщин. Они учат женщин бояться мужчин. Это один бизнес.

Женщине продают абьюзера в каждом мужчине. Мужчине продают холодного манипулятора в каждой женщине. Антипов объясняет механику бизнеса на взаимной ненависти.

Cisco предупредила об атаках на SD-WAN-контроллеры через CVE с оценкой 10 из 10

11867
Cisco Rapid7 SD-WAN уязвимость XMRig
Cisco предупредила об атаках на SD-WAN-контроллеры через CVE с оценкой 10 из 10
Cisco Rapid7 SD-WAN уязвимость XMRig

Cisco подтвердила активную эксплуатацию уязвимости с оценкой по CVSS 10 из 10.

image

Cisco предупредила о продолжающихся атаках на контроллеры SD-WAN, а Rapid7 раскрыла детали критической уязвимости, которая позволяет захватить управление сетевой инфраструктурой без пароля и учётной записи. Проблема затрагивает Cisco Catalyst SD-WAN Controller и получила идентификатор CVE-2026-20182 с максимальной оценкой по CVSS: 10 из 10.

По данным Cisco Talos, злоумышленники уже используют CVE-2026-20182 в реальных атаках. Специалисты связывают активность с группой UAT-8616, которая ранее эксплуатировала похожую уязвимость CVE-2026-20127. После взлома атакующие добавляли собственные SSH-ключи, меняли конфигурацию NETCONF и пытались получить права root. Часть инфраструктуры злоумышленников пересекается с сетями Operational Relay Box, которые используют для сокрытия источников атак.

Rapid7 выяснила, что уязвимость скрывалась в сервисе vdaemon, работающем через UDP-порт 12346. Ошибка позволяет подключиться к контроллеру под видом доверенного устройства типа vHub. Система не проверяет сертификат для такого типа устройств и автоматически помечает подключение как доверенное. После обхода проверки злоумышленник может внедрить собственный SSH-ключ в учётную запись vmanage-admin и получить постоянный доступ к сервису NETCONF через SSH.

Специалисты Rapid7 показали полноценную цепочку атаки. Для эксплуатации достаточно установить DTLS-соединение с любым самоподписанным сертификатом, отправить специально сформированный пакет CHALLENGE_ACK и затем активировать соединение командой Hello. После этого контроллер считает атакующего доверенным участником SD-WAN-сети.

Cisco Talos также сообщила о массовых атаках на другие уязвимости SD-WAN: CVE-2026-20133, CVE-2026-20128 и CVE-2026-20122. Атакующие объединяли ошибки в цепочку, чтобы получить удалённый доступ к необновлённым системам. После взлома злоумышленники размещали веб-оболочки XenShell, Godzilla и Behinder, запускали майнер XMRig, инструменты удалённого управления Sliver и AdaptixC2, а также похищали учётные данные и ключи AWS.

В одном из эпизодов злоумышленники использовали модифицированный вредонос на языке Nim, который, по оценке Cisco Talos, могли создать с помощью систем искусственного интеллекта. Вредонос загружали через платформу Replit, а затем применяли для удалённого выполнения команд, кражи файлов и сбора информации о системе.

Cisco выпустила обновления безопасности и рекомендует срочно установить исправления. Уязвимость CVE-2026-20182 закрыли в версиях 20.12.6.2, 20.12.7.1, 20.15.5.2 и 20.18.2.2. Компания отдельно предупредила, что для старых веток SD-WAN исправлений не будет, поэтому администраторам придётся перейти на поддерживаемые версии.