Cisco предупреждает клиентов об активно эксплуатируемой уязвимости высокого уровня критичности в Catalyst SD-WAN Manager. Уязвимость CVE-2026-20245 позволяет аутентифицированным злоумышленникам повысить привилегии до root и захватить систему. — csoonline.com
Компания Cisco предупреждает клиентов об активно эксплуатируемой уязвимости высокого уровня критичности в Catalyst SD-WAN Manager — системе управления корпоративными сетями, которая уже неоднократно становилась целью хакеров. Уязвимость, находящаяся в интерфейсе командной строки, позволяет аутентифицированным злоумышленникам повысить свои привилегии до уровня root и захватить контроль над всей системой.
Уязвимость, отслеживаемая как CVE-2026-20245, оценена в 7,8 балла (высокий) по шкале CVSS, а не как критическая, поскольку для ее эксплуатации требуется локальный доступ и привилегии netadmin. Эти привилегии могут быть получены через украденные учетные данные или путем использования уязвимостей обхода аутентификации, таких как CVE-2026-20245 или CVE-2026-20127, которые были исправлены в мае и феврале соответственно.
Ранее уязвимости обхода аутентификации эксплуатировались кибершпионской группой, которую Cisco Talos отслеживает под кодовым названием UAT-8616 (см. UAT-8616). Неясно, использовала ли новая уязвимость та же группа в рамках своих кампаний против развертываний SD-WAN в корпоративном секторе, однако о ней стало известно Cisco от подразделения Google Mandiant, специализирующегося на реагировании на инциденты.
«Эта уязвимость вызвана недостаточной проверкой вводимых пользователем данных», — говорится в рекомендациях Cisco. «Злоумышленник может использовать эту уязвимость, загрузив специально сформированный файл на скомпрометированную систему. Успешная эксплуатация может позволить злоумышленнику выполнить атаки внедрения команд на затронутой системе и повысить свои привилегии до уровня root-пользователя».
Меры по смягчению последствий
Хотя патч еще не выпущен, Cisco рекомендует обновиться до последней доступной версии, чтобы гарантировать невозможность использования предыдущих эксплойтов обхода аутентификации. Клиентам также следует проверить конфигурацию своих граничных устройств, поскольку компания зафиксировала случаи, когда эксплуатация этой уязвимости приводила к изменениям конфигурации.
Перед обновлением развертываний SD-WAN пользователям рекомендуется сохранить все соответствующие файлы журналов и выполнить команду request admin-tech для сбора файла admin-tech с каждого из управляющих компонентов.
Cisco опубликовала индикаторы компрометации, которые должны быть видны в файле scripts.log из каталога /var/log/. Однако отличить вредоносные и легитимные вызовы команд в логах сложно, поэтому при обнаружении индикаторов компрометации клиентам следует обращаться в Технический центр поддержки.
«Если в логах обнаружены индикаторы компрометации и подтверждено, что система скомпрометирована, простое применение обновления программного обеспечения не устранит уязвимость», — заявляет компания. «В таких случаях следуйте конкретным шагам по устранению последствий, которые предоставит Технический центр поддержки Cisco (TAC) для обеспечения безопасности системы».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin