Segui 
Cisco ha divulgato una settima vulnerabilità zero-day per SD-WAN sfruttata nel 2026, tracciata come CVE-2026-20245. Il difetto riguarda l’interfaccia a riga di comando del Cisco Catalyst SD-WAN Manager e può permettere a un attaccante remoto autenticato con privilegi di netadmin di eseguire comandi arbitrari come root caricando un file appositamente creato. Cisco afferma che lo sfruttamento è stato già osservato in casi limitati, inclusi incidenti in cui le modifiche alla configurazione sono state inviate ai dispositivi periferici.
Il rischio è amplificato dai requisiti di accesso. Cisco afferma che l’attaccante deve già avere privilegi di netadmin, che possono provenire da credenziali rubate o dalla concatenazione di vulnerabilità SD-WAN precedentemente divulgate come CVE-2026-20182 o CVE-2026-20127. Secondo la divulgazione di Cisco riassunta da Help Net Security e SecurityWeek, il problema riguarda tutti i tipi di deployment Cisco Catalyst SD-WAN, inclusi on-prem, Cloud-Pro, Cisco Managed Cloud e ambienti FedRAMP.
Analisi di CVE-2026-20245
Per l’analisi di CVE-2026-20245, la debolezza chiave è la valida insufficiente dell’input fornito dall’utente nella CLI del SD-WAN Manager. La descrizione pubblica di Cisco afferma che un attaccante autenticato può caricare un file appositamente creato e attivare un’iniezione di comandi, elevando così i privilegi a root sul sistema interessato. SecurityWeek aggiunge che Cisco PSIRT ha appreso dello sfruttamento a giugno 2026, il che suggerisce che la divulgazione è stata accelerata perché il bug era già in fase di abuso in natura.
I dettagli più importanti per CVE-2026-20245 sono che non si tratta di un bug remoto non autenticato in sé e che il percorso di sfruttamento sembra strettamente legato ad attività di compromissione SD-WAN precedenti. Cisco non è a conoscenza di sfruttamenti riusciti mediante metodi differenti dall’ottenimento preliminare dell’accesso privilegiato richiesto, motivo per cui i difensori dovrebbero trattare la questione come parte di una più ampia catena di intrusione SD-WAN piuttosto che come un vettore iniziale isolato.
Al momento della divulgazione, le fonti citate non indicavano un PoC pubblico CVE-2026-20245, ma Cisco ha confermato lo sfruttamento attivo e ha detto che Mandiant ha segnalato il difetto. In termini pratici, il payload CVE-2026-20245 dell’attaccante è un file appositamente creato caricato tramite il flusso di lavoro CLI per attivare l’iniezione di comandi e l’esecuzione a livello root, non un droper convenzionale di malware consegnato dall’esterno dell’apparecchio.
Da una prospettiva operativa, CVE-2026-20245 colpisce alcuni dei sistemi più sensibili in una distribuzione SD-WAN perché SD-WAN Manager si trova a livello del piano di gestione. Cisco ha detto che lo sfruttamento osservato ha portato a modifiche di configurazione inviate ai dispositivi periferici, il che significa che l’abuso riuscito può estendersi oltre il nodo di gestione stesso e alterare il comportamento dell’infrastruttura di rete a valle.
Mitigazione di CVE-2026-20245
Non c’era alcuna patch né una soluzione disponibile al momento della divulgazione, quindi la mitigazione di CVE-2026-20245 è centrata sull’indurimento, la conservazione delle prove e la revisione del compromesso. La guida di Cisco, come citata da Help Net Security, è di raccogliere dati admin-tech da ogni componente di controllo prima di qualsiasi attività di aggiornamento, poi aggiornare al più presto e verificare la configurazione dei dispositivi periferici. Questo consiglio è importante perché gli aggiornamenti software da soli potrebbero non risolvere completamente la situazione se il sistema è già stato compromesso.
Cisco ha anche pubblicato gli IOC di CVE-2026-20245 sotto forma di indicazioni di log specifiche. Help Net Security dice che i clienti dovrebbero rivedere quei registri e, se il compromesso è confermato, lavorare direttamente con Cisco TAC per passaggi mirati di rimedio. SecurityWeek allo stesso modo osserva che Cisco ha reso disponibili indicatori mentre prepara un futuro rilascio di Catalyst SD-WAN Manager con il fix.
Per i difensori che cercano di rilevare CVE-2026-20245, l’approccio più pratico è rivedere i dispositivi SD-WAN Manager per segni di attività a livello root non autorizzata, caricamenti di file sospetti e spinte di configurazione inaspettate ai dispositivi periferici. Poiché Cisco ha esplicitamente collegato l’accesso pre-requisito a credenziali compromesse o bug SD-WAN precedenti, le organizzazioni dovrebbero anche verificare che le vulnerabilità di autenticazione e aumento privilegi precedentemente divulgate siano completamente rimediate in tutto il patrimonio.
Più in generale, la rilevazione di CVE-2026-20245 dovrebbe essere trattata come risposta agli incidenti piuttosto che semplice gestione delle patch. Se i registri indicano abuso, Cisco avverte che semplicemente installare il futuro fix software non garantirà da solo la sicurezza dell’ambiente, e i clienti dovrebbero coinvolgere TAC per ricevere direttive di recupero personalizzate al compromesso confermato.
FAQ
Cos’è CVE-2026-20245 e come funziona?
È una vulnerabilità di iniezione di comandi nella CLI del Cisco Catalyst SD-WAN Manager. Cisco afferma che un attaccante con privilegi di netadmin può caricare un file appositamente creato su un sistema interessato ed eseguire comandi arbitrari come root.
Quando è stato scoperto per la prima volta CVE-2026-20245?
La data di scoperta privata non è stata pubblicamente divulgata nei resoconti citati. Ciò che è pubblico è che Cisco ha divulgato il difetto il 5 giugno 2026, ha detto che PSIRT ha appreso dello sfruttamento a giugno, e ha attribuito a Mandiant la segnalazione della vulnerabilità.
Qual è l’impatto di CVE-2026-20245 sui sistemi?
Uno sfruttamento riuscito può consentire l’esecuzione arbitraria di comandi come root sul Cisco Catalyst SD-WAN Manager. Cisco ha anche affermato di aver osservato casi in cui lo sfruttamento ha portato a modifiche di configurazione inviate ai dispositivi periferici, aumentando il potenziale di un impatto più ampio sulla rete.
CVE-2026-20245 può ancora colpire me nel 2026?
Sì. Qualsiasi distribuzione di Cisco Catalyst SD-WAN Manager interessata può ancora essere esposta nel 2026 se rimane non corretta e un attaccante può ottenere i privilegi di netadmin richiesti, sia tramite credenziali rubate che concatenando vulnerabilità SD-WAN. Al momento della divulgazione, Cisco non aveva ancora rilasciato un correttivo.
Come posso proteggermi da CVE-2026-20245?
Preserva le prove con il processo di raccolta admin-tech, rivedi gli indicatori di log pubblicati da Cisco, verifica le configurazioni dei dispositivi periferici, rimedi eventuali difetti di accesso SD-WAN collegati e applica la futura versione corretta di Cisco non appena sarà disponibile. Se il compromesso è confermato, Cisco consiglia di lavorare con TAC perché il patching da solo potrebbe non rimediare completamente il sistema.
