Cisco paralajmëron për një zero-day të paqëndrueshëm në SD-WAN aktivisht eksploituar në sulme
Më e fundit, Cisco paralajmëroi për një zero-day të lartë serioz në menaxherin Cisco Catalyst SD-WAN (i takuar si CVE-2026-20245) aktivisht eksploituar në sulme që lejonin ngritjen e privilegjeve në nivelin e radhës.
Kujdesi i zero-day i prek të gjitha llojet e zhvillimit, duke përfshirë Zhvillimin On-Prem, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed), dhe Cisco SD-WAN for Government (FedRAMP).
Në një paralajmërim të mëngjesit të fundit, Cisco tha se problemi rrjedh nga vlerësimi i pamjaftueshëm të hyrjeve të dhënash nga përdoruesi, dhe mund të lejojë sulmuesit lokal me privilegje të ulëta për t’i ekzekutuar komandat si radhë.
“Një sulmues mund të eksplozte këtë vështirësi duke u ngarkur një fajll i krijuar në sistemin e prekura. Një eksploitim i suksesshëm mund të lejojë sulmuesit të kryejë sulme të komandeve në një sistem të prekura dhe të ngrihet privilegjet si përdoruesi radhë,” tha kompania.
“Për t’i eksploituar këtë vështirësi, sulmuesi duhet të kete privilegje netadmin në sistemin e prekura. Kjo do të kërkonte kredenciale të vlefshme ose eksploitim të CVE-2026-20182 ose CVE-2026-20127. Cisco nuk është i vetëdijshëm për eksploitim të suksesshëm përmes metodash tjetër,” u shtua. “Cisco nuk është i vetëdijshëm për eksploitim të suksesshëm përmes metodash tjetër. Cisco ka vërejtur raste të kufizuara ku eksploimit e këtij problemi rezultoi në një ndryshim të konfigurimit i ngarkuar në pajisje të kufinjës.”
Kjo softuer i menaxhimit të rrjeteve ndihmon administratorët të monitorojnë dhe menaxhojnë deri në 6,000 pajisje Catalyst SD-WAN nga një dashborard vetëm.
Seksioni i Sigurisë së Produktit të Cisco-s (PSIRT) u bë i vetëdijshëm për eksploitim të CVE-2026-20245 në qershor pasi Google Cloud cybersecurity subsidiary Mandiant raportoi vështirësinë por nuk shiti asnjë detaj.
Por, ai ndihmësi indikatorët e komprometit (IOCs) paralajmëruar administratorët të kërkojnë në fajllin /var/log/scripts.log të tyre të SD-WAN për provat e ngarkimit të dhënave të konfigurimit të tenantëve në vSmart kontroller për të ngrihur privilegjet përmes komandeve të ligjshme, si në shembullin vijon:
“Për ndihmë në përcaktimin nëse një Cisco Catalyst SD-WAN Manager është qarkuar, klientët mund të hapin një kase me TAC-in e Cisco,” tha kompania, duke sugjeruar administratorëve së pari të gjenerojnë fajllin admin-tech për të ndihmuar në shikimit.
Më parë këtë muaj, Cisco gjithashtu etiketoi një vështirësi të Catalyst SD-WAN Controller autentifikim-pushtimit (CVE-2026-20182) si aktivisht eksploituar si zero-day për të fituar privilegje administrative në pajisjet e paqëndrueshme.
Megjithatë, ajo nuk ka lëshuar ende pake për CVE-2026-20245, por paralajmëroi klientët të kalojnë në softuerin e fiksuar për CVE-2026-20182 më 14 maj.
Në shkurt, Cisco gjithashtu adresoi dhe etiketoi një vështirësi kritike të pushtimit të autentifikimit (CVE-2026-20127) që është eksploituar në sulme zero-day që nga vitin 2023 së paku.
Në vitet e fundit, CISA ka etiketuar 90 vështirësi Cisco si të përdorura në natyrë, katër prej tyre në menaxherin Catalyst SD-WAN dhe gjashtë të tjera eksploituar nga operacione ransomware.
