„Cisco" spraga leidžia užvaldyti tinklo valdymo sistemas, o pataisymo nėra

Įsivaizduokite įmonės tinklo administratorių, kuris ketvirtadienio rytą atidaro „Cisco" saugumo pranešimą ir perskaito: pažeidžiamumas, leidžiantis vietiniam vartotojui su „netadmin" teisėmis tapti sistemos šakniniu administratoriumi, yra aktyviai išnaudojamas. Pataisymo nėra. Šis scenarijus nėra hipotetinis — 2026 metų birželio 5 dieną „Cisco" patvirtino, kad pažeidžiamumas CVE-2026-20245, esantis „Catalyst SD-WAN Manager" produktuose, yra naudojamas realiose atakose, o gamintojas kol kas nepasiūlė nei pataisymo, nei laikinos apsaugos.

Tikrasis nerimas kyla ne iš pavienės spragos, o iš grandinės, kurią ji užbaigia. CVE-2026-20245 turi CVSS balą 7,8 iš 10 — aukštas, bet ne kritinis. Tačiau jo pavojingumą lemia tai, kad jis veikia kartu su dviem kitomis, jau aktyviai išnaudojamomis spragomis, kurios suteikia užpuolikui būtent tas „netadmin" teises.

Klaida, kuriai nereikia protingo įsilaužimo

Pats pažeidžiamumas techniškai nesudėtingas. Komandinės eilutės sąsaja (CLI) nepakankamai tikrina vartotojo pateiktus failus. Užpuolikas su „netadmin" lygio prieiga gali įkelti specialiai sukurtą failą, kuris leidžia įvykdyti komandas kaip „root" — aukščiausio lygio sistemos administratorius.

Tačiau tam, kad užpuolikas apskritai turėtų „netadmin" teises, jam reikia arba galiojančių prisijungimo duomenų, arba išnaudoti vieną iš dviejų anksčiau atskleistų spragų — CVE-2026-20182 arba CVE-2026-20127. Abi jos yra autentifikacijos apėjimo spragos su kritiniais CVSS balais (10,0), leidžiančios nuotoliniam užpuolikui be jokių kredencialų gauti administratoriaus teises.

CVE-2026-20182 buvo atskleista vos prieš mėnesį — gegužės 14 dieną „Rapid7" tyrėjai paskelbė, kad ši spraga leidžia neautentifikuotam nuotoliniam užpuolikui gauti administracines privilegijas. Pataisymas jai buvo išleistas tą pačią dieną. CVE-2026-20127, panaši autentifikacijos apėjimo klaida, buvo išnaudojama dar nuo 2023 metų. Abi spragos buvo naudojamos kaip nulinės dienos atakos, o su CVE-2026-20127 siejama grėsmių veiklos grupė, pavadinta UAT-8616.

Ką matė „Google Mandiant"

„Cisco" pataria, kad CVE-2026-20245 rado „Google Mandiant" tyrėjai Chester Sng, Pete Boonyakarn ir Logeswaran Nadarajan. Bendrovė fiksavo ribotus atvejus, kai pažeidžiamumo išnaudojimas lėmė konfigūracijos pakeitimą, nusiųstą į kraštinius tinklo įrenginius.

Kol kas nežinoma, kas tiksliai stovi už naujausių išnaudojimo atvejų — ar tai ta pati UAT-8616 grupė, ar kitas veikėjas. Aišku viena: užpuolikai seka „Cisco" saugumo pranešimus taip pat atidžiai kaip ir tinklo administratoriai, o gal net atidžiau.

„Cisco" rekomenduoja patikrinti failą /var/log/scripts.log, ieškant įtartinų įrašų. Tai gali padėti aptikti, ar sistema jau buvo pažeista.

Kad viskas būtų dar sudėtingiau, CVE-2026-20245 yra jau septintas „Cisco SD-WAN" pažeidžiamumas, pažymėtas kaip aktyviai išnaudojamas vien šiais metais. Prieš tai buvo CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 ir CVE-2022-20775.

Ką daryti

Kol kas vienintelė rekomendacija — įsitikinti, kad gegužės 14 dienos pataisymai CVE-2026-20182 yra įdiegti. Tai neuždaro CVE-2026-20245, bet bent jau užkerta kelią lengviausiam keliui gauti „netadmin" teises. „Cisco" taip pat įspėja, kad tiesiogiai internete pasiekiamos sistemos yra ypač pažeidžiamos.

Tai primena, kad įmonių tinklo įrangos saugumas nėra vienkartinis darbas. Kiekviena atskleista spraga yra ne izoliuota problema, o plyta kelyje, kuriuo užpuolikas stato tiltą iki jūsų tinklo šerdies.