返回
快讯

Cisco Catalyst SD-WAN Manager 漏洞被主动利用

Cisco 警告,影响 Catalyst SD-WAN Manager 的高危漏洞 CVE-2026-20245 已遭主动利用。已认证本地攻击者可借助特制文件以 root 身份执行任意命令,互联网暴露系统风险更高。Cisco 目前已发布修复,建议尽快升级到包含补丁的版本,并检查相关日志排查入侵迹象。

CVE-2026-20245CVE-2026-20182CVE-2026-20127CVE-2026-20122CVE-2026-20128CVE-2026-20133CVE-2022-20775CVE-2026-20230

Cisco 警告称,影响 Catalyst SD-WAN Manager 的一个高危安全缺陷已遭到主动利用。

该漏洞编号为 CVE-2026-20245,CVSS 评分为 7.8(满分 10.0)。它影响以下部署类型:

On-Prem Deployment

Cisco SD-WAN Cloud-Pro

Cisco SD-WAN Cloud (Cisco Managed)

Cisco SD-WAN for Government (FedRAMP)

Cisco 在一份公告中表示:“Cisco Catalyst SD-WAN Manager(原名 SD-WAN vManage)的 CLI 中存在一个漏洞,若攻击者向受影响系统提供特制文件,经过身份验证的本地攻击者可作为 root 执行任意命令。”

该网络安全公司表示,该漏洞源于对用户提供输入的验证不足,攻击者可以通过向受影响系统上传特制文件来利用它。这反过来可能使攻击者执行 command injection 攻击,并将权限提升为 root 用户。

Cisco 进一步补充:“要利用该漏洞,攻击者必须在受影响系统上拥有 netadmin 权限。这需要有效凭证,或者利用 CVE-2026-20182 或 CVE-2026-20127。Cisco 尚未发现通过其他方法成功利用的情况。”

CVE-2026-20182(CVSS 评分:10.0)由 Rapid7 于上月披露,描述为一种 authentication bypass,可使未经身份验证的远程攻击者在易受攻击系统上获取管理权限。评估还认为它与 CVE-2026-20127 相似,后者也是影响同一组件的 authentication bypass。

这两个漏洞都已在野外被利用,属于 zero-day;一个名为 UAT-8616 的威胁活动集群早在 2023 年就与滥用 CVE-2026-20127 相关联。

Cisco 在周四发布的公告中表示,其观察到少数 CVE-2026-20245 的利用案例导致配置变更被推送到边缘设备。Cisco 认可 Google Mandiant 的研究员 Chester Sng、Pete Boonyakarn 和 Logeswaran Nadarajan 发现并报告了这个新漏洞。目前尚不清楚最新利用活动背后是谁。

目前,CVE-2026-20245 没有可用的补丁或缓解措施。建议客户升级其 SD-WAN 软件,以确保已应用 2026 年 5 月 14 日发布、针对 CVE-2026-20182 的修复。

Cisco 还警告称,暴露在互联网的系统面临更高的被入侵风险。若要查找入侵迹象(IoCs),建议用户检查 “/var/log/scripts.log” 文件,查看如下条目:

Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0 Jun 5 13:06:39 Manager vScript: vSmart upload serial numbers: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv Jun 5 13:08:47 Validator vScript: ZTP upload chassis numbers: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv

CVE-2026-20245 是今年第七个被标记为正在被主动利用的 Cisco SD-WAN 漏洞,此前包括 CVE-2026-20182、CVE-2026-20127、CVE-2026-20122、CVE-2026-20128、CVE-2026-20133 和 CVE-2022-20775。

这次披露发生在 Cisco 修复 Unified Communications Manager 另一个高危安全缺陷之后数日。该漏洞为 CVE-2026-20230(CVSS 评分:8.6),Cisco 表示其 proof-of-concept exploit code 已公开,但没有证据表明该漏洞已遭主动利用。

Update

截至 2026 年 6 月 12 日,Cisco 已发布更新以修复 CVE-2026-20245。以下 Cisco Catalyst SD-WAN 版本可获得补丁:

20.9.9.1 及更早版本(在 20.9.9.2 中修复)

20.12.7.1 及更早版本(在 20.12.7.2 中修复)

20.15.4.4 及更早版本(在 20.15.4.5 中修复)

20.15.5.2 及更早版本(在 20.15.5.3 中修复)

20.18.3(在 20.18.3.1 中修复)

26.1.1.1 及更早版本(在 26.1.1.2 中修复)