„Cisco" SD-WAN vėl atakuojamas: tai jau penkta spraga šiemet

„Cisco" ketvirtadienį patvirtino, kad jų SD-WAN valdymo programinėje įrangoje aktyviai išnaudojama nulinės dienos spraga, suteikianti atakuotojams aukščiausias administratoriaus teises. Tai jau penktas kritinis pažeidžiamumas toje pačioje sistemoje šiais metais.

Pažeidžiamumas, pažymėtas indeksu CVE-2026-20245, leidžia vietiniams atakuotojams su žemomis privilegijomis įkelti specialiai sukurtą failą ir įvykdyti komandas su root teisėmis. Spraga veikia visuose SD-WAN diegimo variantuose — nuo vietinės infrastruktūros iki vyriausybinių FedRAMP aplinkų, taip pat debesijos versijose „Cisco SD-WAN Cloud-Pro" ir „Cisco SD-WAN Cloud".

„Google" kibernetinio saugumo padalinys „Mandiant" apie šį pažeidžiamumą pranešė birželio pradžioje, tačiau detalių, kaip konkrečiai ataka vykdoma, neatskleidė. Pasak „Cisco", užfiksuoti riboti atvejai, kai spragos išnaudojimas lėmė konfigūracijos pakeitimus, nusiųstus į tinklo pakraščio įrenginius.

Įdomu tai, kad norint išnaudoti CVE-2026-20245, atakuotojui vis tiek reikia netadmin lygio prieigos — o tai reiškia, kad prieš tai turi būti sėkmingai išnaudotas kuris nors iš ankstesnių pažeidžiamumų CVE-2026-20182 arba CVE-2026-20127. Pastarasis, beje, buvo išnaudojamas nulinių dienų atakose nuo pat 2023-ųjų.

Įmonė kol kas neišleido pataisos CVE-2026-20245, tačiau rekomenduoja administratoriams atnaujinti sistemas iki versijos, ištaisiusios ankstesnį kritinį CVE-2026-20182 pažeidžiamumą, išleistą gegužės 14 dieną. Taip pat patariama tikrinti žurnalo failą /var/log/scripts.log dėl įtartinų komandų, ypač susijusių su konfigūracijos duomenų įkėlimu į vSmart valdiklius.

Tai, kad „Cisco" SD-WAN serija per pirmąjį 2026-ųjų pusmetį susidūrė su penkiais aktyviai išnaudojamais pažeidžiamumais, kelia rimtų klausimų apie šios platformos saugumo architektūrą. SD-WAN valdiklis leidžia administratoriams iš vieno pulto valdyti iki 6 000 tinklo įrenginių — vienas pažeistas valdiklis potencialiai atveria duris į visą įmonės tinklą.