Ketvirtadienį „Cisco“ perspėjo apie labai rimtą, nepataisytą nulinę dieną „Cisco Catalyst SD-WAN Manager“ (sekama kaip CVE-2026-20245), kuri aktyviai naudojama atakoms, leidžiančioms išplėsti pagrindines teises.
Nulinės dienos trūkumas turi įtakos visiems diegimo tipams, įskaitant On-Prem Deployment, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) ir Cisco SD-WAN for Government (FedRAMP).
Ketvirtadienio patarime Cisco teigė, kad problema kyla dėl nepakankamo vartotojo pateiktos įvesties patvirtinimo ir gali leisti vietiniams užpuolikams, turintiems mažas teises, vykdyti savavališkas komandas kaip root.
„Užpuolikas gali išnaudoti šį pažeidžiamumą įkeldamas sukurtą failą į paveiktą sistemą. Sėkmingas išnaudojimas gali leisti užpuolikui atlikti komandų įpurškimo atakas paveiktoje sistemoje ir padidinti savo, kaip pagrindinio vartotojo, teises”, – aiškino bendrovė.
„Norėdamas išnaudoti šį pažeidžiamumą, užpuolikas turi turėti tinklo administratoriaus teises paveiktoje sistemoje. Tam reikės galiojančių kredencialų arba išnaudoti CVE-2026-20182 arba CVE-2026-20127. Cisco nežino apie sėkmingą išnaudojimą kitais metodais”, – pridūrė ji. „Cisco nežino apie sėkmingą išnaudojimą kitais metodais. Cisco pastebėjo keletą atvejų, kai dėl šios klaidos išnaudojimo konfigūracija buvo pakeista į kraštinius įrenginius.”
Anksčiau žinoma kaip SD-WAN vManage, ši tinklo valdymo programinė įranga padeda administratoriams stebėti ir valdyti iki 6 000 Catalyst SD-WAN įrenginių iš vieno prietaisų skydelio.
„Cisco“ produktų saugos incidentų reagavimo komanda (PSIRT) apie CVE-2026-20245 išnaudojimą sužinojo birželio mėn., kai „Google Cloud“ kibernetinio saugumo dukterinė įmonė „Mandiant“ pranešė apie trūkumą, bet nepateikė jokios informacijos.
Tačiau jis pasidalijo įspėjimo apie kompromisą (IOC) indikatoriais, kad administratoriai patikrintų savo SD-WAN /var/log/scripts.log failą, ar nėra bandymų įkelti nuomininko konfigūracijos duomenis į „vSmart“ valdiklius, kad būtų padidintos privilegijos naudojant teisėtas komandas, kaip parodyta šiame pavyzdyje:
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
„Norėdami padėti nustatyti, ar „Cisco Catalyst SD-WAN Manager“ buvo pažeistas, klientai gali pradėti bylą su „Cisco TAC“, – pridūrė bendrovė, patardama administratoriams pirmiausia surinkti administravimo technologijų failus, kurie padėtų atlikti peržiūrą.
Saugos pataisos dar nepasiekiamos
Praėjusį mėnesį Cisco taip pat pažymėjo maksimalaus sunkumo Catalyst SD-WAN Controller autentifikavimo apėjimo trūkumą (CVE-2026-20182) kaip nulinę dieną, kad įgytų administravimo privilegijas nepataisytuose įrenginiuose.
Nors „Cisco“ dar neišleido pataisų, skirtų CVE-2026-20245, ji patarė klientams gegužės 14 d. atnaujinti į CVE-2026-20182 programinę įrangą.
Vasario mėn. „Cisco“ pataisė kitą „Catalyst SD-WAN Manager“ informacijos atskleidimo saugos trūkumą (CVE-2026-20133), kurią CISA pažymėjo kaip aktyviai išnaudotą balandžio pabaigoje, o po dviejų savaičių perspėjo, kad dar dviem trūkumais (CVE-2026-20128 ir CVE-2026-2012) buvo piktnaudžiaujama.
Kovo mėn. jis taip pat pašalino ir pažymėjo kritinį autentifikavimo apėjimo pažeidžiamumą (CVE-2026-20127), kuris buvo naudojamas per nulinės dienos atakas mažiausiai nuo 2023 m.
Per pastaruosius kelerius metus CISA pažymėjo 90 „Cisco“ pažeidžiamumų, kaip piktnaudžiaujama gamtoje, keturi iš jų „Cisco Catalyst SD-WAN Manager“ ir šešis kitus išnaudojo išpirkos reikalaujančios programos.
Apsaugos komandos registruoja 54% sėkmingų atakų ir įspėja tik apie 14%. Likusieji juda per jūsų aplinką nematyti.
„Picus“ informaciniame dokumente parodyta, kaip pažeidimo ir atakos modeliavimas tikrina jūsų SIEM ir EDR taisykles, kad aptiktos grėsmės nustotų slysti.
Gaukite baltą lapą
