CVE-2026-20127

Cisco Catalyst SD-WAN Controller and Manager

ВЕРОЯТНОСТЬ 0.9%
Дата обнаружения

2026-02-25

Официальное описание

Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, and Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, contain an authentication bypass vulnerability could allow an unauthenticated, remote attacker to bypass authentication and obtain administrative privileges on an affected system. This vulnerability exists because the peering authentication mechanism in an affected system is not working properly. An attacker could exploit this vulnerability by sending crafted requests to an affected system. A successful exploit could allow the attacker to log in to an affected Cisco Catalyst SD-WAN Controller as an internal, high-privileged, non-root user account. Using this account, the attacker could access NETCONF, which would then allow the attacker to manipulate network configuration for the SD-WAN fabric.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2026-20127 представляет собой критическую уязвимость обхода аутентификации в механизме пиринга (peering authentication) продуктов Cisco Catalyst SD-WAN Manager (vManage) и Controller (vSmart).

Проблема вызвана некорректной логикой проверки подлинности при установке соединений между компонентами управления инфраструктурой. Удаленный неавторизованный злоумышленник может отправить специально сформированные запросы к системе, что позволит ему получить доступ к внутренней высокопривилегированной учетной записи (non-root).

Используя этот доступ, атакующий может взаимодействовать с интерфейсом NETCONF, что дает полный контроль над конфигурацией всей сети SD-WAN (fabric), позволяя изменять маршрутизацию, политики безопасности и параметры сегментации.

Как исправить

Единственным надежным способом устранения уязвимости является обновление программного обеспечения до фиксированных версий, выпущенных Cisco.

  1. Определите текущую версию ПО на контроллере или менеджере:
show version
  1. Загрузите соответствующий патч или обновленный образ (Cisco Software Center) и выполните обновление. В зависимости от вашей ветки, перейдите на следующие (или более новые) версии:
  2. Если используется ветка 20.6: обновитесь до 20.6.6.1
  3. Если используется ветка 20.9: обновитесь до 20.9.7
  4. Если используется ветка 20.12: обновитесь до 20.12.3

  5. Если используется ветка 20.13: обновитесь до 20.13.2

  6. После загрузки образа на устройство, активируйте его:

request software activate <version_number>
  1. Подтвердите успешную установку и статус системы:
show software status

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и ограничить доступ к управляющим интерфейсам.

  1. Настройте списки контроля доступа (ACL) на пограничных устройствах, чтобы разрешить доступ к портам управления и пиринга (включая NETCONF) только с доверенных IP-адресов администраторов и известных узлов инфраструктуры SD-WAN.

  2. Ограничьте доступ к интерфейсу управления через конфигурацию VPN 0 или VPN 512 (Management VPN):

config t
policy
 access-list MGMT_ACL sequence 10 permit tcp source <TRUSTED_IP_SUBNET> destination-port 830
 access-list MGMT_ACL sequence 20 deny tcp source any destination-port 830
 commit
  1. Включите расширенное логирование для мониторинга попыток несанкционированного доступа к NETCONF и системным учетным записям:
config t
logging level notifications
commit
  1. Проверьте список активных сессий на наличие подозрительных подключений:
show users


show netconf sessions
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей