Cisco Catalyst SD-WAN Manager pod ostrzałem: CVE-2026-20245 aktywnie wykorzystywana bez dostępnej poprawki - Security Bez Tabu

Cisco Catalyst SD-WAN Manager pod ostrzałem: CVE-2026-20245 aktywnie wykorzystywana bez dostępnej poprawki

Cybersecurity news

Wprowadzenie do problemu / definicja

Cisco ostrzegło przed podatnością CVE-2026-20245 w Cisco Catalyst SD-WAN Manager, wcześniej znanym jako SD-WAN vManage. Luka została oceniona na 7,8 w skali CVSS i według producenta jest już aktywnie wykorzystywana w rzeczywistych atakach.

Problem dotyczy interfejsu CLI i wynika z niewystarczającej walidacji danych wejściowych. W praktyce może to prowadzić do wstrzyknięcia poleceń oraz wykonania dowolnych komend z uprawnieniami roota po dostarczeniu specjalnie przygotowanego pliku do podatnego systemu.

W skrócie

  • CVE-2026-20245 dotyczy Cisco Catalyst SD-WAN Manager.
  • Podatność umożliwia wykonanie poleceń jako root.
  • Warunkiem skutecznego ataku są uprawnienia netadmin.
  • Cisco potwierdziło aktywną eksploatację w ograniczonej liczbie przypadków.
  • Na moment publikacji ostrzeżenia nie było dostępnej poprawki ani obejścia.

Kontekst / historia

Nowa podatność wpisuje się w serię problemów bezpieczeństwa dotyczących ekosystemu Cisco SD-WAN ujawnionych w 2026 roku. Wcześniej szeroko opisywano m.in. CVE-2026-20182 oraz CVE-2026-20127, czyli luki pozwalające na obejście uwierzytelnienia lub uzyskanie podwyższonych uprawnień na kontrolerach SD-WAN.

W tym kontekście CVE-2026-20245 nie wygląda na odosobniony błąd, lecz na kolejny element łańcucha ataku wymierzonego w centralne systemy zarządzania siecią WAN. To szczególnie istotne, ponieważ platforma SD-WAN Manager pełni funkcję nadrzędnego punktu kontroli i orkiestracji konfiguracji, a jej przejęcie może mieć bezpośredni wpływ na wiele urządzeń brzegowych jednocześnie.

Analiza techniczna

Podatność została powiązana z komponentem CLI w Cisco Catalyst SD-WAN Manager. Jej źródłem jest nieprawidłowe przetwarzanie danych dostarczanych przez użytkownika, co otwiera drogę do wstrzyknięcia poleceń po przesłaniu odpowiednio spreparowanego pliku.

Kluczowe znaczenie ma jednak warunek wstępny: atakujący musi posiadać konto z uprawnieniami netadmin. Oznacza to, że luka może zostać wykorzystana przez osobę dysponującą przejętymi poświadczeniami administracyjnymi albo jako kolejny etap bardziej złożonego ataku, w którym wcześniej użyto innych podatności do uzyskania dostępu.

Z perspektywy operacyjnej zwiększa to atrakcyjność CVE-2026-20245 dla zaawansowanych aktorów zagrożeń. Błąd wymagający autoryzacji może bowiem pełnić rolę skutecznego mechanizmu post-exploitation, prowadzącego do pełnej kontroli nad instancją zarządzającą SD-WAN.

Cisco wskazało również, że zagrożenie dotyczy różnych modeli wdrożenia, w tym środowisk on-premises, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud zarządzanego przez Cisco oraz wariantu FedRAMP dla sektora publicznego. To oznacza, że ekspozycja nie ogranicza się do jednego typu architektury.

W analizie potencjalnych śladów kompromitacji szczególnie ważny jest plik dziennika /var/log/scripts.log. Mogą się w nim pojawiać wpisy sugerujące nietypowe ładowanie plików przez skrypty związane z zarządzaniem listami tenantów, numerami seryjnymi vSmart lub numerami chassis. Tego rodzaju ślady nie muszą automatycznie oznaczać udanego ataku, ale powinny uruchomić rozszerzoną analizę incydentu.

Konsekwencje / ryzyko

Choć CVSS dla CVE-2026-20245 wynosi 7,8, realne ryzyko może być wyższe niż wskazuje sama punktacja. Najważniejszym czynnikiem jest aktywna eksploatacja oraz rola, jaką Cisco Catalyst SD-WAN Manager odgrywa w infrastrukturze przedsiębiorstwa.

Uzyskanie uprawnień root w centralnym systemie kontrolnym może umożliwić modyfikację polityk sieciowych, zmianę konfiguracji urządzeń edge, ruch boczny w środowisku oraz utrzymanie trwałego dostępu. Cisco potwierdziło przypadki, w których eksploatacja doprowadziła do zmian konfiguracji wypychanych na urządzenia brzegowe.

Szczególnie narażone są organizacje, które:

  • udostępniają systemy SD-WAN Manager do internetu,
  • nie wdrożyły wcześniejszych poprawek powiązanych z CVE-2026-20182 i CVE-2026-20127,
  • utrzymują zbyt szerokie uprawnienia administracyjne,
  • nie monitorują integralności konfiguracji kontrolerów i urządzeń brzegowych,
  • mają ograniczoną widoczność logów operacyjnych i aktywności uprzywilejowanej.

Dodatkowym problemem jest brak poprawki i brak obejścia. W takiej sytuacji klasyczne podejście do remediacji nie jest możliwe, a obrona musi opierać się na ograniczaniu powierzchni ataku, twardej kontroli dostępu i szybkiej detekcji anomalii.

Rekomendacje

Organizacje korzystające z Cisco Catalyst SD-WAN Manager powinny potraktować sprawę priorytetowo i wdrożyć środki ograniczające ryzyko do czasu publikacji poprawki.

  • Zweryfikować, czy środowisko zostało zaktualizowane pod kątem wcześniejszych podatności, zwłaszcza CVE-2026-20182, która może stanowić etap wejściowy do wykorzystania nowej luki.
  • Ograniczyć dostęp do interfejsów administracyjnych wyłącznie do wydzielonych sieci zarządzających i kontrolowanych kanałów dostępu.
  • Włączyć silne uwierzytelnianie wieloskładnikowe wszędzie tam, gdzie jest to możliwe.
  • Przeprowadzić audyt kont uprzywilejowanych, ze szczególnym uwzględnieniem roli netadmin, oraz usunąć zbędne uprawnienia.
  • Zresetować hasła kont administracyjnych i przeanalizować ostatnie logowania oraz operacje wykonywane przez użytkowników o wysokich uprawnieniach.
  • Sprawdzić logi, w tym /var/log/scripts.log, historię uploadu plików oraz zmiany propagowane na urządzenia brzegowe.
  • Przygotować tymczasowe reguły detekcji dla anomalii związanych z nietypowym przesyłaniem plików, uruchamianiem skryptów CLI i zmianami konfiguracji poza oknami serwisowymi.

Podsumowanie

CVE-2026-20245 to kolejna poważna luka w ekosystemie Cisco SD-WAN, która może umożliwić wykonanie poleceń jako root w Cisco Catalyst SD-WAN Manager po dostarczeniu spreparowanego pliku. Mimo że skuteczny atak wymaga uprawnień netadmin, znaczenie podatności rośnie w połączeniu z wcześniejszymi błędami uwierzytelniania i eskalacji uprawnień.

Największe zagrożenie wynika z aktywnej eksploatacji, centralnej roli systemu zarządzającego oraz braku dostępnej poprawki. Do czasu udostępnienia aktualizacji organizacje powinny skupić się na minimalizacji ekspozycji, przeglądzie dostępu uprzywilejowanego oraz dokładnym monitorowaniu zmian konfiguracyjnych i śladów możliwej kompromitacji.

Źródła

  1. The Hacker News — Cisco Catalyst SD-WAN Manager CVE-2026-20245 Flaw Actively Exploited – No Patch Available
  2. Cisco Security Advisory — Cisco Catalyst SD-WAN Manager Authenticated Privilege Escalation Vulnerability
  3. Rapid7 — CVE-2026-20182: Critical authentication bypass in Cisco Catalyst SD-WAN Controller
  4. Cisco — Cisco Catalyst SD-WAN Manager Vulnerabilities
  5. Cisco — Remediate Catalyst SD-WAN Security Advisory – May 2026