Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Product Backstage. Узнайте все о продуктовых новинках Positive Technologies. Онлайн-трансляция. Успей зарегистрироваться

Root-права через загрузку. Cisco предупредила о новой 0Day в Catalyst SD-WAN Manager

5001
Cisco zero-day Catalyst SD‑WAN Manager уязвимость
Root-права через загрузку. Cisco предупредила о новой 0Day в Catalyst SD-WAN Manager
Cisco zero-day Catalyst SD‑WAN Manager уязвимость

Уже седьмая уязвимость Cisco SD-WAN, которую в 2026 году пометили как активно используемую в атаках.

image

Cisco предупредила о новой атаке на системы управления программно определяемыми сетями. Злоумышленники уже используют уязвимость в Catalyst SD‑WAN Manager, а готового исправления для нее пока нет. Для компаний, у которых такие системы доступны из интернета, риск особенно высок.

Уязвимость получила идентификатор CVE‑2026‑20245 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H — 7.8 (High)). Проблема затрагивает локальные установки, Cisco SD‑WAN Cloud‑Pro, облачную версию Cisco SD‑WAN под управлением Cisco, а также Cisco SD‑WAN for Government для государственных заказчиков.

По данным Cisco, ошибка находится в интерфейсе командной строки Catalyst SD‑WAN Manager, который раньше назывался SD‑WAN vManage. Пользователь с правами netadmin может загрузить специально подготовленный файл и выполнить произвольные команды с правами root.

Причина уязвимости связана с недостаточной проверкой данных, которые передает пользователь. Через вредоносный файл атакующий может внедрить команды в систему и повысить свои привилегии до максимального уровня.

Cisco уточняет, что для эксплуатации CVE‑2026‑20245 злоумышленнику нужны права netadmin. Получить такой доступ можно при наличии действующих учетных данных либо через другие уязвимости, включая CVE‑2026‑20182 и CVE‑2026‑20127. Других подтвержденных способов атаки компания пока не видит.

CVE‑2026‑20182 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical) получила максимальную оценку 10 баллов и была раскрыта в мае 2026 года. Уязвимость позволяет удаленному атакующему без входа в систему получить административные права на уязвимых устройствах. Похожая проблема под номером CVE‑2026‑20127 затрагивает тот же компонент. Обе уязвимости уже использовались в реальных атаках как уязвимости нулевого дня. Активность, связанную с эксплуатацией CVE‑2026‑20127 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 10.0 Critical), связывают с группой UAT‑8616, которая, по данным Cisco, использовала ошибку еще с 2023 года.

В новом предупреждении Cisco сообщила о небольшом числе случаев, когда эксплуатация CVE‑2026‑20245 приводила к изменению конфигурации на пограничных устройствах. Кто стоит за последними атаками, пока неизвестно.

Исправлений и обходных мер для CVE‑2026‑20245 сейчас нет. Cisco рекомендует клиентам обновить программное обеспечение SD‑WAN и убедиться, что в системах уже установили патчи для CVE‑2026‑20182, выпущенные 14 мая 2026 года. Компания также советует проверить возможные признаки взлома в файле /var/log/scripts.log. Подозрительными могут быть записи, связанные с загрузкой списков арендаторов, серийных номеров vSmart или номеров шасси через скрипты командной строки.

CVE-2026-20245 стала уже седьмой уязвимостью Cisco SD-WAN, которую в 2026 году отметили как активно используемую в атаках. До нее в список попали CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 и CVE-2022-20775. За несколько дней до нового предупреждения Cisco также закрыла уязвимость CVE-2026-20230 в Unified Communications Manager. Для нее уже опубликован демонстрационный код атаки, однако признаков реальной эксплуатации Cisco пока не обнаружила.