CISA rozszerza katalog KEV o luki Cisco, Chrome i Arista aktywnie wykorzystywane w atakach

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities o trzy nowe podatności, które są już aktywnie wykorzystywane w rzeczywistych atakach. Dotyczą one Cisco Catalyst SD-WAN Manager, silnika V8 w Google Chrome oraz systemu Arista EOS, co oznacza jednoczesne ryzyko dla warstwy administracyjnej, stacji roboczych i infrastruktury sieciowej.

Wpis do katalogu KEV nie jest zwykłą formalnością. Dla zespołów bezpieczeństwa to sygnał, że zagrożenie ma charakter praktyczny, a nie wyłącznie teoretyczny, dlatego powinno zostać objęte priorytetowym procesem reagowania.

W skrócie

• CISA 9 czerwca 2026 roku dodała do KEV trzy podatności: CVE-2026-20245, CVE-2026-11645 i CVE-2026-7473.
• Luka w Cisco Catalyst SD-WAN Manager może umożliwić lokalnemu, uwierzytelnionemu atakującemu wykonanie dowolnych poleceń z uprawnieniami root.
• Podatność w Google Chrome dotyczy błędu out-of-bounds read/write w silniku V8 i może prowadzić do wykonania kodu po otwarciu spreparowanej strony.
• Problem w Arista EOS wiąże się z nieprawidłowym przetwarzaniem określonych typów ruchu tunelowanego.
• Federalne agencje cywilne w USA otrzymały termin do 23 czerwca 2026 roku na wdrożenie poprawek lub działań ograniczających ryzyko.

Kontekst / historia

Katalog KEV jest jednym z najważniejszych praktycznych narzędzi wykorzystywanych do priorytetyzacji podatności. Obejmuje luki, dla których istnieją wiarygodne przesłanki aktywnej eksploatacji, dlatego jego aktualizacje są uważnie śledzone przez zespoły SOC, administratorów i specjalistów vulnerability management.

W tym przypadku szczególne znaczenie ma przekrojowy charakter zagrożenia. Jedna luka dotyczy platformy zarządzania siecią SD-WAN, druga najpopularniejszej klasy aplikacji użytkownika końcowego, czyli przeglądarki internetowej, a trzecia systemu operacyjnego urządzeń sieciowych. Taki zestaw pokazuje, że organizacje muszą patrzeć na ryzyko całościowo, a nie jedynie przez pryzmat pojedynczych segmentów infrastruktury.

Dodatkowym aspektem jest fakt, że nie w każdym przypadku klasyczna poprawka stanowi docelowe rozwiązanie. W odniesieniu do Arista EOS producent wskazał przede wszystkim działania mitygacyjne oparte na konfiguracji i filtrowaniu ruchu, co zwiększa znaczenie hardeningu oraz poprawnej segmentacji.

Analiza techniczna

CVE-2026-20245 w Cisco Catalyst SD-WAN Manager wynika z nieprawidłowego kodowania lub escapowania danych wyjściowych. W praktyce uwierzytelniony, lokalny atakujący może dostarczyć specjalnie przygotowany plik, a następnie doprowadzić do wykonania dowolnych poleceń z uprawnieniami root. To scenariusz szczególnie niebezpieczny, ponieważ dotyczy systemu odpowiedzialnego za zarządzanie ruchem i konfiguracją sieci, a jego kompromitacja może przełożyć się na szeroką kontrolę nad środowiskiem SD-WAN.

CVE-2026-11645 w Google Chrome dotyczy silnika JavaScript V8 i jest błędem typu out-of-bounds read/write. Oznacza to możliwość odczytu lub zapisu pamięci poza dozwolonym zakresem. Atakujący może przygotować złośliwą stronę HTML, która po otwarciu przez ofiarę uruchomi warunki sprzyjające wykonaniu kodu w kontekście przeglądarki. Choć izolacja sandbox ogranicza część skutków, takie podatności często pełnią rolę pierwszego etapu bardziej złożonych łańcuchów ataku.

CVE-2026-7473 w Arista EOS ma odmienny charakter i dotyczy logiki przetwarzania ruchu tunelowanego. Problem wynika z niepełnego porównania oraz pominięcia części warunków podczas obsługi pakietów kierowanych do dekapsulacji. W określonych scenariuszach urządzenie może nieprawidłowo dekapsulować i przekazywać pakiety, które nie powinny zostać zaakceptowane. Ryzyko dotyczy zwłaszcza środowisk, w których przełącznik działa jako punkt końcowy tunelu, na przykład dla VXLAN, GRE lub innych mechanizmów dekapsulacji.

Warto podkreślić, że przypadek Arista nie wpisuje się w klasyczny schemat zdalnego wykonania kodu, ale nadal może prowadzić do naruszenia założeń bezpieczeństwa sieci. W praktyce chodzi o możliwość przetwarzania nieoczekiwanego ruchu przez urządzenia, które powinny akceptować wyłącznie określone typy tuneli i pakietów.

Konsekwencje / ryzyko

Wszystkie trzy podatności zasługują na wysoki priorytet, choć ich skutki różnią się zależnie od kontekstu wdrożenia. W przypadku Cisco największym zagrożeniem jest przejęcie platformy zarządzającej z uprawnieniami root, co może umożliwić manipulację konfiguracją, utrwalenie dostępu, podsłuch ruchu i dalsze poruszanie się po infrastrukturze.

Dla Google Chrome ryzyko jest szerokie, ponieważ przeglądarka pozostaje jednym z najczęściej wykorzystywanych punktów wejścia do środowiska użytkownika. Luka w V8 może zostać użyta w kampaniach phishingowych, watering hole lub w złośliwych reklamach, a następnie połączona z dodatkowymi technikami w celu eskalacji ataku.

W środowiskach Arista EOS konsekwencje mają bardziej sieciowy niż systemowy charakter, ale nie należy ich bagatelizować. Nieoczekiwane przetwarzanie ruchu tunelowanego może osłabić segmentację, zakłócić polityki bezpieczeństwa i utworzyć niestandardową ścieżkę ataku w obrębie sieci, szczególnie w data center oraz infrastrukturze operatorskiej.

Rekomendacje

Organizacje powinny potraktować aktualizację katalogu KEV jako impuls do natychmiastowej weryfikacji ekspozycji. Najważniejsze jest ustalenie, czy podatne wersje Cisco Catalyst SD-WAN Manager, Google Chrome oraz Arista EOS są obecne w środowisku, a następnie ocena, czy istnieją realne warunki umożliwiające eksploatację.

• Niezwłocznie zinwentaryzować podatne zasoby i podnieść priorytet wskazanych CVE w narzędziach vulnerability management.
• Wdrożyć aktualizacje bezpieczeństwa dla Google Chrome na stacjach roboczych, serwerach VDI i innych zarządzanych punktach końcowych.
• Ograniczyć dostęp administracyjny do Cisco SD-WAN Manager, zweryfikować konta uprzywilejowane oraz przeanalizować logi przesyłania plików i zmian konfiguracyjnych.
• W środowiskach Arista wdrożyć ACL i inne mechanizmy filtrujące wyłącznie legalny ruch tunelowany oraz zablokować niepożądane ścieżki dekapsulacji.
• Rozszerzyć monitoring o wykrywanie anomalii związanych z procesami przeglądarki, nietypowym ruchem tunelowanym i aktywnością w systemach zarządzających.
• Przeprowadzić threat hunting pod kątem oznak aktywnej eksploatacji oraz przygotować plan działania dla przypadków, w których dostępne są wyłącznie mitygacje.

Podsumowanie

Dodanie CVE-2026-20245, CVE-2026-11645 i CVE-2026-7473 do katalogu KEV potwierdza, że zagrożenie ma charakter bieżący i operacyjny. Sprawa obejmuje trzy różne klasy problemów: wykonanie poleceń z uprawnieniami root w platformie zarządzającej, wykonanie kodu przez przeglądarkę oraz nieprawidłową obsługę ruchu tunelowanego w warstwie sieciowej.

Dla zespołów bezpieczeństwa najważniejsze pozostają szybka identyfikacja podatnych systemów, wdrożenie aktualizacji tam, gdzie są dostępne, oraz zastosowanie skutecznych mitygacji konfiguracyjnych tam, gdzie producent nie przewiduje klasycznej poprawki. W praktyce to właśnie tempo reakcji zdecyduje o ograniczeniu ryzyka.

Źródła

• https://thehackernews.com/2026/06/cisa-adds-cisco-chrome-and-arista-flaws.html
• https://www.arista.com/en/support/advisories-notices/security-advisory/24005-security-advisory-0137
• https://thehackernews.com/2026/06/cisco-catalyst-sd-wan-manager-cve-2026.html
• https://thehackernews.com/2026/06/chrome-v8-zero-day-cve-2026-11645.html