CVE-2022-20775

Cisco SD-WAN

ВЕРОЯТНОСТЬ 0.3%
Дата обнаружения

2026-02-25

Официальное описание

Cisco SD-WAN CLI contains a path traversal vulnerability that could allow an authenticated local attacker to gain elevated privileges via improper access controls on commands within the application CLI. A successful exploit could allow the attacker to execute arbitrary commands as the root user.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-20775 представляет собой уязвимость типа Path Traversal (обход путей) в интерфейсе командной строки (CLI) программного обеспечения Cisco SD-WAN. Проблема вызвана недостаточной проверкой вводимых данных и некорректным контролем доступа к системным вызовам через CLI.

Авторизованный локальный злоумышленник с низким уровнем привилегий может использовать специально сформированные команды для выхода за пределы ограниченной оболочки CLI. Это позволяет манипулировать файловой системой и выполнять произвольные команды в операционной системе с правами суперпользователя (root), что ведет к полному компрометации устройства.

Как исправить

Для устранения уязвимости необходимо обновить программное обеспечение Cisco SD-WAN (vManage, vSmart, vBond и Edge-маршрутизаторы серий vEdge/cEdge) до версий, в которых данная ошибка исправлена.

  1. Определите текущую версию ПО:
show version
  1. Загрузите исправленный образ ПО с Cisco Software Central и выполните обновление. Уязвимость устранена в следующих ветках (и более новых):
  2. 20.3.4.1
  3. 20.6.3.1
  4. 20.7.2
  5. 20.8.1

  6. 20.9.1

  7. Пример команды для установки нового ПО на устройство:

request software install <path_to_image>
  1. После установки активируйте новую версию:
request software activate <version_number>

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих мер:

  1. Ограничение доступа: Максимально ограничьте круг лиц, имеющих доступ к CLI устройств. Используйте модель минимальных привилегий (Least Privilege).

  2. Мониторинг активности: Настройте экспорт логов на внешний Syslog-сервер и отслеживайте подозрительные команды, связанные с манипуляцией файлами или попытками перехода по директориям (например, использование ../).

  3. Настройка аутентификации: Используйте централизованную аутентификацию (TACACS+ или RADIUS) для детального логирования действий каждого пользователя в системе.

config t
system
aaa
authentication login default local tacacs
!
  1. Контроль физического и консольного доступа: Поскольку уязвимость требует локальной аутентификации, убедитесь, что доступ к консольным портам устройств физически защищен.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей