Стежити 
Уразливість, що впливає на Cisco Catalyst SD-WAN Controller, привернула термінову увагу після підтвердження активної експлуатації з боку Cisco, Rapid7 і CISA. CVE-2026-20182 є критичною помилкою обходу автентифікації в Cisco Catalyst SD-WAN Controller і Cisco Catalyst SD-WAN Manager, що має рейтинг CVSS 10.0 і може дозволити неавтентифікованому віддаленому атакуючому отримати адміністративні привілеї в ураженій системі. Cisco заявляє, що помилка виникає через некоректну роботу автентифікації пірів в контрольному з’єднанні, і що успішна експлуатація може викрити NETCONF та дозволити маніпуляцію налаштуваннями через тканину SD-WAN.
Проблема особливо серйозна, оскільки це критичний обхід автентифікації в інфраструктурі Cisco, що знаходиться в центрі мережевих комунікацій підприємства. Cisco заявляє, що постраждалі продукти включають Cisco Catalyst SD-WAN Controller і Cisco Catalyst SD-WAN Manager у всіх виданнях: on-prem, Cloud-Pro, Cisco Managed Cloud і FedRAMP, незалежно від конфігурації пристрою. The Hacker News також повідомляє, що CISA додала цю уразливість до каталогу Відомих експлуатованих уразливостей і вимагала від федеральних цивільних агенцій США усунути її до 17 травня 2026 року.
Аналіз CVE-2026-20182
На технічному рівні дослідження Rapid7 показує, що уразливість існує в рукопожатті контрольно-плоскості vdaemon. Після DTLS рукопожаття, ціль відправляє виклик, а клієнт відповідає CHALLENGE_ACK. Rapid7 виявила, що коли приєднуючийся пір стверджує, що є пристроєм типу vHub, верифікація сертифіката за типом пристрою не відбувається, проте шлях коду все ще позначає пір як автентифікований. Це основна уразливість CVE-2026-20182 та причина, чому зловмисник може перейти з неавтентифікованого стану до довіреного піра контрольно-плоскості.
На практиці, публічно описаний корисний навантаження CVE-2026-20182 не є файлами зловмисного програмного забезпечення, а сконструйованою послідовністю рукостискання: DTLS з будь-яким сертифікатом, отримання виклику, CHALLENGE_ACK, що декларує тип пристрою 2 (vHub), і потім повідомлення Hello, яке переводить пір у стан UP. Написання Rapid7 також показує, що, як тільки цей стан досягається, зловмисник може скористатися типами повідомлень після автентифікації, щоб зловживати функціональністю контролера.
Цей доступ після автентифікації створює реальну загрозу. Rapid7 описує особливо значну примітиву, в якій нападник може скористатися обробником повідомлень, щоб додати публічний ключ SSH до /home/vmanage-admin/.ssh/authorized_keys, створюючи стійкий адміністративний доступ. Це також причина, чому CVE-2026-20182 впливає на набагато більше, ніж сама межа входу: компрометація контролера або менеджера може бути переведена в ширший контроль над оркестрацією SD-WAN і політикою.
Публічні дослідження вже досить розвинені. Rapid7 опублікувала модуль Metasploit, що означає наявність публічного poc для CVE-2026-20182. У той же час, Cisco стверджує, що стало відомо про обмежену експлуатацію в травні 2026 року, тоді як The Hacker News повідомляє, що Cisco Talos з високою впевненістю пов’язує діяльність з UAT-8616, яке начебто намагалося додати ключі SSH, модифікувати конфігурації NETCONF і підвищити привілеї до root після експлуатації.
Для захисників, виявлення CVE-2026-20182, швидше за все, надходить з журналів контролера і перегляду конфігурації, ніж з одних лише мережевих сигнатур. Рекомендації Cisco нагадують клієнтам перевірити /var/log/auth.log на наявність записів, що показують Accepted publickey для vmanage-admin з невідомих або несанкціонованих IP-адрес, перевірити ці IP-адреси на відповідність відомим системним IP-призначенням та вручну переглянути незвичайні події пірингу контрольних підключень, особливо несподівані типи пірів vmanage. Ці перевірки, опубліковані постачальником, є найближчими доступними ioc для CVE-2026-20182.
Пом’якшення CVE-2026-20182
Найважливіші деталі для CVE-2026-20182 є інтуїтивно зрозумілими щодо виправлення: Cisco повідомляє, що немає обхідних рішень, і клієнти повинні якнайшвидше оновитися до фіксованого випуску. Перші фіксовані версії включають 20.9.9.1 для випуску 20.9, 20.12.7.1 для 20.10 та 20.11, 20.12.5.4 / 20.12.6.2 / 20.12.7.1 для 20.12, 20.15.4.4 / 20.15.5.2 для 20.15, 20.18.2.2 для 20.18, і 26.1.1.1 для 26.1, тоді як у Cisco Managed Cloud випуск 20.15.506 був усунутий без дій з боку клієнта.
Перед оновленням, Cisco радить клієнтам виконати команду request admin-tech на кожному компоненті контролю SD-WAN, щоб можливі докази були збережені для розслідування. Цей крок має значення, адже прискорене оновлення може перезаписати корисні дані для судово-медичної експертизи, якщо система вже була скомпрометована.
Щоб виявити уразливість CVE-2026-20182 на практиці, команди з безпеки повинні мати інвентаризацію всіх вузлів Catalyst SD-WAN Controller і Manager, зіставити їх з фіксованими версіями Cisco, переглянути події пірингу на предмет незвичайних позначок часу, ролей, загальнодоступних IP та системних IP, і порівняти події автентифікації з відомими вікнами обслуговування та авторизованої інфраструктурою. Cisco чітко рекомендує відкрити справу TAC, якщо підозрюється компрометація, і надати зібраний пакет admin-tech для перегляду.
FAQ
Що таке CVE-2026-20182 і як воно працює?
Це критичний збій автентифікації в Cisco Catalyst SD-WAN Controller і Cisco Catalyst SD-WAN Manager. Cisco заявляє, що механізм автентифікації пірів в керуючому з’єднанні не функціонує правильно, і Rapid7 показала, що атакуючий може скористатись рукостисканням, стверджуючи, що є пристроєм типу vHub, дозволяючи системі сприймати атакуючого як автентифікованого.
Коли вперше було виявлено CVE-2026-20182?
Cisco вперше опублікувала своє повідомлення 14 травня 2026 року. Публічні джерела не розкривають дату приватного виявлення, але Cisco приписує Стефену Феверу та Йона Бурджесу з Rapid7 за повідомлення про помилку.
Який вплив CVE-2026-20182 на системи?
Вплив є серйозним: неавтентифікований віддалений атакуючий може отримати адміністративні привілеї в ураженій системі, отримати доступ до NETCONF, маніпулювати конфігурацією тканини SD-WAN та потенційно встановити постійність, наприклад, введені ключі SSH. Помилка оцінюється на 10.0 за рейтингом Cisco.
Чи може CVE-2026-20182 все ще впливати на мене у 2026 році?
Так. Будь-яке невиправлене впровадження Cisco Catalyst SD-WAN Controller або Manager на уразливому випуску може все ще бути під загрозою у 2026 році, і Cisco заявляє, що їй відомо про обмежену експлуатацію, яка вже відбувається в дикій природі.
Як я можу захистити себе від CVE-2026-20182?
Негайно застосуйте фіксовані випуски Cisco, зберіть дані admin-tech перед оновленням, перевіряйте auth.log на несанкціоновані входи в публічні ключі vmanage-admin, аутентифікуйте підозрілі елементи пірингу, і зверніться до Cisco TAC, якщо підозрюється компрометація. Cisco заявляє, що обхідних шляхів, які повністю вирішують цю проблему, немає.
