Офис пустеет поздним вечером, а у сетевого администратора на экране — лог с подозрительной загрузкой файла. Через такую мелочь злоумышленник может поднять права до root и начать менять настройки корпоративной сети. Именно о таком сценарии Cisco предупредила владельцев Catalyst SD-WAN Manager.

Что произошло

Cisco сообщила о критической уязвимости CVE-2026-20245 в Catalyst SD-WAN Manager. Компания уже видит, как её используют в атаках, хотя патч для этой ошибки пока не вышел.

Проблема затрагивает все варианты развёртывания: On-Prem Deployment, SD-WAN Cloud-Pro, SD-WAN Cloud (Cisco Managed) и SD-WAN for Government (FedRAMP). Речь идёт о платформе, которая управляет большими сетями из одного окна — Cisco говорит о парках до 6 000 устройств.

Как работает атака

По данным Cisco, корень проблемы — в слабой проверке пользовательского ввода. Локальный атакующий с низкими правами может загрузить специально подготовленный файл и заставить систему выполнить команды от имени root.

Чтобы добраться до этой стадии, злоумышленнику нужны права netadmin. Их можно получить с валидными учётными данными или через эксплуатацию уже известных ошибок CVE-2026-20182 и CVE-2026-20127. Компания отдельно пишет, что пока не видела подтверждённых атак иными способами.

Cisco также указала на признаки компрометации. Администраторам советуют проверить файл /var/log/scripts.log и искать попытки загрузки данных конфигурации tenant на контроллеры vSmart с использованием легитимных команд. Если есть подозрение на взлом, компания рекомендует открыть обращение в Cisco TAC и сначала собрать admin-tech file для анализа.

Этот эпизод хорошо показывает, почему корпоративную инфраструктуру ломают не «в лоб», а через цепочку мелких ошибок. Подобные истории мы уже разбирали на примере атак на админские учётки и корпоративные токены, а в разборе кражи токенов GitHub видно, как одна уязвимость быстро превращается в доступ ко всей системе.

Кого затронуло и что может случиться

Главная мишень — компании и госструктуры, которые используют Cisco Catalyst SD-WAN Manager для управления сетью. Если атакующий добирается до root, он может менять конфигурацию, подсовывать новые параметры на edge-устройства и закрепляться в инфраструктуре.

Cisco пишет, что уже наблюдала ограниченные случаи, когда эксплуатация этой ошибки приводила к изменению конфигурации, отправленной на периферийные узлы. Для бизнеса это не просто технический сбой. Это риск простоя, потери контроля над сетевыми правилами и последующих атак на внутренние сервисы.

Отдельно важно, что проблема живёт рядом с другими свежими багами Cisco. В последние месяцы компания уже объявляла об активно эксплуатируемых уязвимостях в Catalyst SD-WAN Controller и других компонентах этой линейки. На фоне такой серии админам стоит смотреть на платформу как на приоритетную цель для ревизии, а не ждать следующего инцидента.

Что делать прямо сейчас

Если в вашей сети есть Catalyst SD-WAN Manager, тянуть с проверкой нельзя. Даже без патча у команды есть базовые шаги, которые помогут сузить окно риска и понять, не задела ли атака вашу инфраструктуру.

Для удалённых администраторов и сотрудников, которые входят в рабочие панели из поездок или с чужих сетей, разумно заранее включить дополнительный слой защиты соединения. Один из вариантов — защита данных в поездках и аккуратная работа с учётными записями, чтобы не подставить корпоративный доступ под перехват или кражу сессии.

Практический чек-лист:

  • Проверьте версию Cisco Catalyst SD-WAN Manager и сопоставьте её с рекомендациями Cisco по исправлению CVE-2026-20182.
  • Просмотрите /var/log/scripts.log на подозрительные загрузки tenant configuration data и нетипичные команды.
  • Соберите admin-tech file, если есть признаки компрометации, и передайте его в Cisco TAC.
  • Ограничьте круг пользователей с netadmin и проверьте, не использовались ли старые или общие учётные данные.
  • Сверьте конфигурацию edge-устройств с эталонной версией и найдите несанкционированные изменения.
  • Усильте контроль входа в админ-панели: отдельные пароли, 2FA там, где это возможно, и запрет на лишние удалённые подключения.
  • Если сотрудники работают вне офиса, используйте безопасное подключение для рабочих поездок как один из слоёв защиты перед выходом к корпоративным системам.
  • Заложите время на обновление и повторную проверку журналов после установки исправлений.
Поделиться: