Нужен ли временный обход, если обновление пока невозможно?

Cisco прямо указывает, что полноценного временного решения нет. Максимум, что стоит делать до обновления, — ограничить доступ к интерфейсам управления доверенными сетями и внимательно проверить логи.

Как понять, что сеть уже скомпрометирована?

Компания советует искать в логах неизвестные IP-адреса, успешные входы под vmanage-admin и подозрительные события peering. Если вход с чужого адреса прошёл успешно, устройство нужно считать скомпрометированным.

Почему эта уязвимость так опасна для бизнеса?

Потому что она затрагивает не отдельный компьютер, а сетевой контроллер. Через него атакующий может менять конфигурацию SD-WAN, добавлять ложные узлы и двигаться глубже по корпоративной сети.

Cisco закрыла критическую брешь в SD-WAN

Cisco предупредила о критической уязвимости SD-WAN с атаками нулевого дня

Cisco закрыла критическую брешь в Catalyst SD-WAN Controller: её уже использовали в атаках нулевого дня для захвата админских прав и подмены сетевых узлов.

15 мая 2026 г. 3 мин чтения 46 просмотров 1 читает сейчас

Cisco предупредила о критической уязвимости SD-WAN с атаками нулевого дня

На одном из корпоративных контуров администратор видит в логах странный вход с неизвестного адреса. Через несколько минут в сети появляется новый «сосед» — внешне легитимный, но уже под контролем злоумышленника. Именно так выглядит риск, о котором предупредила Cisco: критическую брешь в Catalyst SD-WAN Controller уже использовали в атаках нулевого дня.

Что произошло

Компания сообщила о CVE-2026-20182 — уязвимости с максимальной оценкой 10.0. Она затрагивает Cisco Catalyst SD-WAN Controller и Cisco Catalyst SD-WAN Manager в локальных установках и в облачном SD-WAN.

По словам Cisco, ошибка связана с механизмом аутентификации peering, который «не работает должным образом». Иными словами, система может принять чужой запрос за свой и пустить атакующего внутрь.

Уязвимость уже применяли в реальных атаках. Cisco заметила эксплуатацию в мае, но детали не раскрыла.

Как работала атака

Схема выглядит опасно просто. Злоумышленник отправлял специально подготовленные запросы на уязвимый контроллер, обходил проверку подлинности и получал доступ как внутренний пользователь с высокими привилегиями, хотя и не root.

Дальше открывался доступ к NETCONF — протоколу, через который управляют сетевой конфигурацией SD-WAN. Это позволяло менять маршрутизацию и параметры сети, а затем добавлять в контур поддельного peer — узел, который выглядит своим, но работает на атакующего.

Такой узел может установить зашифрованные соединения и начать рекламировать сети под контролем злоумышленника. В корпоративной сети это уже не мелкая ошибка, а плацдарм для дальнейшего продвижения.

Подобные инциденты редко ограничиваются одним сервером. В WordPress-плагине Burst Statistics нашли критический захват админов и Microsoft закрыла 138 уязвимостей, включая ошибки в DNS и Netlogon — хороший пример того, как одна дыра быстро превращается в риск для всей инфраструктуры.

Кого затронуло и что меняется для бизнеса

Под ударом оказались организации, которые используют Catalyst SD-WAN Controller и Manager для связи филиалов, дата-центров и облака. Для таких систем ошибка опасна не только кражей доступа, но и подменой сетевого трафика, изменением маршрутов и скрытым внедрением ложного узла.

Cisco выпустила обновления безопасности и прямо сказала: полноценного временного решения нет. Компания советует ограничить доступ к интерфейсам управления и control plane только доверенными внутренними сетями или разрешёнными IP-адресами, а также проверять журналы аутентификации на подозрительную активность.

CISA уже внесла CVE-2026-20182 в каталог известных эксплуатируемых уязвимостей и потребовала от федеральных ведомств США закрыть проблему к 17 мая 2026 года. Это говорит о том, что речь идёт не о теоретическом риске, а о действующей угрозе.

Cisco также напоминает проверять логи на признаки несанкционированного peering. Особое внимание — строкам вида «Accepted publickey for vmanage-admin» с незнакомых IP-адресов. Если такой вход подтвердится, устройство считают скомпрометированным.

Что делать сейчас

Если у вас есть Cisco Catalyst SD-WAN Controller или Manager, первым делом проверьте версию и поставьте исправление. Cisco пишет прямо: только обновление полностью закрывает CVE-2026-20182.

Затем посмотрите журналы аутентификации и события peering. Сверьте IP-адреса с настроенными System IP в веб-интерфейсе SD-WAN Manager. Любой неизвестный адрес — повод для разбирательства и, если вход прошёл успешно, для полноценного инцидент-реагирования.

Полезно заранее пересмотреть доступ к административным интерфейсам. Чем меньше внешних точек входа, тем сложнее атакующему использовать подобную брешь.

Если сотрудникам нужен защищённый канал для удалённой работы и переписки, средство для скрытия сетевых следов стоит рассматривать как один из элементов цифровой гигиены рядом с менеджером паролей и 2FA. Но для самой уязвимости это не замена обновлению и не способ «обезвредить» проблему.

Проверьте, есть ли у вас Cisco Catalyst SD-WAN Controller или Manager.
Установите обновление Cisco для CVE-2026-20182 как можно скорее.
Ограничьте доступ к интерфейсам управления только доверенными IP-адресами.
Просмотрите /var/log/auth.log на входы вида «Accepted publickey for vmanage-admin» с неизвестных адресов.
Сверьте адреса в логах с System IP в Cisco Catalyst SD-WAN Manager.
Проверьте журналы на несанкционированный peering и появление чужих узлов.
Если нашли успешный вход с неизвестного IP, считайте устройство скомпрометированным и начинайте расследование.