Стежити 
Cisco розкрила сьомий уразливий нульовий день SD-WAN, експлуатований у 2026 році, відзначений як CVE-2026-20245. Помилка стосується інтерфейсу командного рядка Cisco Catalyst SD-WAN Manager і може дозволити віддаленому аутентифікованому зловмиснику з привілеями netadmin виконувати довільні команди як root , завантаживши спеціально створений файл. Cisco заявляє, що експлуатація вже була зафіксована в обмеженій кількості випадків, включаючи інциденти, коли зміни конфігурації були направлені на крайові пристрої.
Ризик посилюється вимогами до доступу. Cisco зазначає, що зловмисник вже повинен мати привілеї netadmin, які можуть бути отримані шляхом викрадення облікових даних або шляхом використання раніше розкритих вразливостей SD-WAN, таких як CVE-2026-20182 або CVE-2026-20127. За даними Cisco, як зазначено в підсумках Help Net Security та SecurityWeek, проблема впливає на всі типи розгортання Cisco Catalyst SD-WAN, включаючи на місцеві, Cloud-Pro, керовані Cisco хмари та середовища FedRAMP.
Аналіз CVE-2026-20245
Для аналізу CVE-2026-20245 ключовим є недостатня валідація введених користувачем даних у CLI SD-WAN Manager. Згідно з публічним описом Cisco, аутентифікований зловмисник може завантажити спеціально створений файл і викликати ін’єкцію команди, в кінцевому підсумку підвищуючи привілеї до root на враженій системі. SecurityWeek додає, що Cisco PSIRT дізналася про експлуатацію в червні 2026 року, що свідчить про те, що розголошення було прискорене, оскільки баг вже використовувався на практиці.
Найважливіша деталь щодо CVE-2026-20245 полягає у тому, що це не уразливість віддаленого неаутентифікованого доступу як така, і шлях експлуатації, ймовірно, тісно пов’язаний з попередньою діяльністю по компрометації SD-WAN. Cisco не знає про успішну експлуатацію будь-яким іншим способом, окрім як отриманням необхідного привілейованого доступу спочатку, тому захисники повинні розглядати цю проблему як частину ширшої ланцюга вторгнення SD-WAN, а не як окремий вектор початкового доступу.
На момент розголошення, згадані джерела не вказували на публічний PoC CVE-2026-20245, але Cisco підтвердила активну експлуатацію і повідомила, що Mandiant повідомила про цю вразливість. На практиці, CVE-2026-20245 є спеціально створеним файлом, завантаженим через робочий процес CLI для виклику ін’єкції команди та виконання на рівні root, а не звичайним завантажувачем шкідливого програмного забезпечення, доставленим ззовні.
З точки зору операційного підходу, CVE-2026-20245 впливає на деякі з найбільш чутливих систем у розгортанні SD-WAN, оскільки SD-WAN Manager розташований на площині управління. Cisco заявила, що спостережувана експлуатація призвела до змін конфігурації, направлених на крайові пристрої, що означає, що успішне зловживання може виходити за межі самого вузла управління і змінювати поведінку інфраструктури мережі внизу.
Пом’якшення наслідків CVE-2026-20245
На момент розголошення не було доступно ні виправлення, ні обхідного рішення, тому пом’якшення наслідків CVE-2026-20245 зосереджено на посиленні, збереженні доказів та перевірці на компрометування. Рекомендації Cisco, згідно з даними Help Net Security, полягають у збиранні даних admin-tech з кожного управляючого компоненту перед будь-якими оновленнями, потім оновлення якомога раніше та перевірці конфігурації крайових пристроїв. Ці рекомендації важливі, оскільки одні лише оновлення програмного забезпечення можуть не повністю вирішити ситуацію, якщо система вже була скомпрометована.
Cisco також опублікувала IOC CVE-2026-20245 у формі конкретних вказівок по логах. Help Net Security відзначає, що клієнтам слід переглядати ці логи, і якщо компрометування підтверджене, працювати безпосередньо з Cisco TAC для цільових кроків по відновленню. SecurityWeek також зазначає, що Cisco зробила індикатори доступними, поки готує майбутній випуск Catalyst SD-WAN Manager з виправленням.
Для захисників, що намагаються виявити CVE-2026-20245, найпрактичнішим підходом буде перевірка пристроїв SD-WAN Manager на ознаки несанкціонованої активності на рівні root, підозрілі завантаження файлів і несподівані зміни конфігурації на крайових пристроях. Оскільки Cisco явно зв’язує попередній доступ з компрометованими обліковими даними або попередніми багаами SD-WAN, організації повинні також перевірити, що раніше розкриті вразливості аутентифікації та підвищення привілеїв повністю усунені по всій інфраструктурі.
Більш широко, виявлення CVE-2026-20245 слід вважати заходом реагування на інциденти, а не рутинним управлінням патчами. Якщо логи вказують на зловживання, Cisco попереджає, що просте встановлення майбутньої програмної виправлення не забезпечить конфіденційність середовища, і клієнти повинні звернутися до TAC для отримання керівництва по відновленню, що відповідає підтвердженій компрометації.
FAQ
Що таке CVE-2026-20245 і як він працює?
Це уразливість у ін’єкції команди в CLI Cisco Catalyst SD-WAN Manager. Cisco заявляє, що зловмисник з привілеями netadmin може завантажити спеціально створений файл на вражену систему і виконати довільні команди як root.
Коли CVE-2026-20245 вперше був виявлений?
Дата приватного виявлення не була публічно розкрита в згадуваних звітах. Відомо, що Cisco розкрила уразливість 5 червня 2026 року, повідомивши, що PSIRT дізналася про експлуатацію в червні, і відзначила Mandiant за повідомлення про уразливість.
Як впливає CVE-2026-20245 на системи?
Успішна експлуатація може дозволити виконання довільних команд як root на Cisco Catalyst SD-WAN Manager. Cisco також заявила, що спостерігалися випадки, коли експлуатація призвела до змін конфігурації, направлених на крайові пристрої, що підвищує потенціал для ширшого впливу на мережу.
Чи може CVE-2026-20245 все ще впливати на мене в 2026 році?
Так. Будь-яке розгортання Cisco Catalyst SD-WAN Manager, що зазнало впливу, все ще може бути під впливом у 2026 році, якщо залишиться без виправлення і зловмисник може отримати необхідні привілеї netadmin, незалежно через викрадені облікові дані або пов’язані баги SD-WAN. На момент розголошення Cisco ще не випустила виправлення.
Як я можу захиститися від CVE-2026-20245?
Зберігайте докази за допомогою процесу збору даних admin-tech, переглядайте опубліковані Cisco індикатори логів, перевіряйте конфігурації крайових пристроїв, усувайте будь-які пов’язані вразливості доступу SD-WAN і застосовуйте майбутній випуск з виправленням від Cisco, щойно він стане доступним. У разі підтвердженого компрометування Cisco радить працювати з TAC, оскільки патчування самостійно може не повністю вирішити ситуацію.
