Раньше такие ошибки считали теоретическим риском для внутреннего периметра, но Cisco уже говорит об активной эксплуатации уязвимости в Catalyst SD-WAN Manager. Проблема затрагивает сразу несколько вариантов развёртывания и может привести к запуску команд с правами root.
Какую проблему решаем
Речь идёт о CVE-2026-20245 с оценкой 7,8 балла по CVSS. По данным Cisco, злоумышленнику нужны учётные данные netadmin на затронутой системе, но на практике такой доступ может появиться и через связанные уязвимости аутентификации, о которых компания предупреждала раньше.
Особенно уязвимы системы, открытые из интернета. Cisco уже фиксировала случаи, когда атака приводила не только к запуску команд, но и к изменению конфигурации на пограничных устройствах.
Для сравнения полезно посмотреть и на предыдущее предупреждение Cisco о SD-WAN, и на разбор атаки на Cisco Unified CM: в обоих случаях слабое место оказалось не в одной точке, а в цепочке доступа и прав.
Что подготовить
Если вы отвечаете за Cisco Catalyst SD-WAN Manager, держите под рукой три вещи: список всех развёртываний, доступ к журналам и понимание, кто вообще может заходить в консоль с привилегиями netadmin. Без этого вы не поймёте, затронута ли инфраструктура.
Ещё один практический шаг — заранее проверить, кто имеет доступ к узлу управления из внешней сети. Для удалённых команд и выездной работы лучше использовать защищённое шифрование трафика для рабочих устройств, чтобы снизить риск перехвата данных учётных записей и сеансов.
Пошаговые действия
1. Проверьте версию и тип развёртывания
Cisco указала, что проблема касается on-prem, Cloud-Pro, Cloud и Government-версий. Сверьте свою конфигурацию с уведомлением производителя и убедитесь, что речь идёт именно о Catalyst SD-WAN Manager, а не о другом компоненте.
2. Ограничьте круг тех, кто входит в консоль
Если у части сотрудников нет прямой задачи работать с управлением сетью, уберите лишние учётные записи и пересмотрите роли. Уязвимость требует локального авторизованного доступа, а значит, чем меньше таких учёток, тем ниже риск.
3. Изучите журналы
Cisco советует искать признаки компрометации в файле /var/log/scripts.log. Смотрите на неожиданные вызовы, запуск нестандартных команд и изменения, которых никто не планировал.
4. Проверьте, не менялась ли конфигурация на edge-устройствах
Компания уже наблюдала ограниченные случаи, когда атака приводила к раскатке конфигурации на пограничные устройства. Это важный сигнал: проблема может затронуть не только центральный сервер, но и всю сеть филиалов.
5. Обновите SD-WAN до исправленной версии
Для CVE-2026-20245 патча пока нет, но Cisco советует поставить обновления, которые закрыли связанную уязвимость CVE-2026-20182 от 14 мая 2026 года. Если вы откладывали плановое обновление, сейчас тянуть уже опасно.
Как проверить себя
Спросите себя прямо: есть ли у системы внешний доступ, кто знает действующие учётные данные netadmin, ведётся ли журнал изменений и кто его читает. Если на любой из этих вопросов ответ «не знаю», защита у вас выстроена плохо.
Затем проверьте три вещи: нет ли несанкционированных входов, совпадают ли конфигурации на edge-устройствах с ожидаемыми и обновлены ли все узлы до версии с исправлениями для более ранней дыры. Если хоть один пункт проваливается, риск уже не абстрактный.
Что делать, если не получилось
Если вы не можете быстро обновить систему, не оставляйте её без наблюдения. Временно ужесточите доступ к управляющей панели, сократите число администраторов и поднимите уровень мониторинга на сетевых узлах.
Если есть подозрение на компрометацию, не ограничивайтесь одной проверкой логов. Сравните конфигурации, смените пароли привилегированных учётных записей и подключите команду реагирования, пока атака не ушла глубже в сеть.
Чек-лист для администратора
- Сверить, используется ли Cisco Catalyst SD-WAN Manager в одном из затронутых вариантов развёртывания.
- Проверить, кто имеет права netadmin и нет ли лишних учётных записей.
- Изучить
/var/log/scripts.logна следы подозрительной активности. - Сравнить конфигурации edge-устройств с эталоном.
- Поставить все доступные обновления, связанные с CVE-2026-20182.
- Ограничить внешний доступ к управляющей панели.
- Пройтись по журналам после любых изменений на сети.
- Если есть признаки атаки, изолировать узел и начать разбор инцидента.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.