CVE-2026-20182

Cisco Catalyst SD-WAN

КРИТИЧЕСКИЙ
Вероятность (EPSS) 80.5%
Тяжесть (CVSS) CVSS 10.0
Дата обнаружения

2026-05-14

Профиль угрозы (Вектор)
Доступ
Сеть
Сложность
Низкая
Привилегии
Не требуются
Жертва
Бездействует
Строка: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Официальное описание

Cisco Catalyst SD-WAN Controller & Manager contain an authentication bypass vulnerability that allows an unauthenticated, remote attacker to bypass authentication and obtain administrative privileges on an affected system.

Технический анализ и план устранения

Суть уязвимости

CVE-2026-20182 представляет собой критическую уязвимость обхода аутентификации в компонентах Cisco Catalyst SD-WAN Manager (ранее vManage) и SD-WAN Controller (ранее vSmart). Проблема вызвана некорректной обработкой запросов на проверку подлинности в API-интерфейсах и веб-панели управления.

Удаленный неавторизованный злоумышленник может отправить специально сформированные HTTP-запросы к уязвимому устройству, что позволяет полностью обойти механизмы проверки учетных данных. В результате атакующий получает права администратора (Administrative Privileges), что дает полный контроль над инфраструктурой SD-WAN, включая возможность изменения конфигураций сети, перехвата трафика и компрометации подключенных Edge-устройств.

Как исправить

Основным способом устранения является обновление программного обеспечения до версий, в которых данная уязвимость исправлена.

  1. Определите текущую версию ПО на контроллере или менеджере:
show version

  1. Загрузите исправленный образ (Software Image) с официального портала Cisco Software Central.

  2. Установите обновление на устройство (пример для CLI):

request software install <path_to_image_file>
  1. После завершения установки активируйте новую версию:
request software activate <version_number>
  1. Подтвердите обновление после перезагрузки:
request software upgrade-confirm

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки с помощью следующих мер:

  1. Ограничьте доступ к интерфейсам управления (HTTPS/Rest API) с помощью списков контроля доступа (ACL), разрешив подключения только с доверенных IP-адресов администраторов или из сегмента Management VPN (VPN 512):
policy
 access-list MGMT_ACL sequence 10 action accept source-ip <TRUSTED_ADMIN_IP>/32
 access-list MGMT_ACL sequence 20 action drop
  1. Примените ACL на интерфейсе управления:
vpn 512
 interface eth0
  access-list MGMT_ACL in

  1. Настройте использование внешних систем аутентификации (TACACS+/RADIUS) и включите многофакторную аутентификацию (MFA) для всех административных сессий, чтобы усложнить использование скомпрометированных сессий.

  2. Настройте логирование всех попыток входа и обращений к API на внешний Syslog-сервер или SIEM для оперативного обнаружения аномальной активности:

logging host <SYSLOG_SERVER_IP> vpn 512 severity info
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
Обсуждение и опыт коллег
0
Чтобы оставить комментарий, необходимо войти или зарегистрироваться.

Пока никто не поделился опытом.
Станьте первым!

← Вернуться к списку уязвимостей