Четиридневен срок за федералните агенции

Cybersecurity and Infrastructure Security Agency (CISA) издаде спешно предупреждение, като даде само четири дни на федералните агенции да защитят системите си срещу уязвимост в Cisco SD-WAN решения.

Става дума за уязвимостта CVE-2026-20133, която вече е добавена към каталога Known Exploited Vulnerabilities Catalog, което означава, че има доказателства за активна експлоатация.

Засегнатият компонент: SD-WAN Manager

Проблемът засяга Catalyst SD-WAN Manager (преди известен като vManage) – централен инструмент за управление на мрежи, който може да контролира до 6000 устройства от един интерфейс.

Какво представлява уязвимостта

Според Cisco:

• уязвимостта е свързана с недостатъчни ограничения върху файловата система
• позволява достъп до чувствителна информация чрез API
• може да бъде експлоатирана без автентикация

Успешна атака дава възможност на нападателя да:

• чете данни от операционната система
• извлича конфигурационна информация
• потенциално подготвя следващи етапи на компрометиране

Разминаване между CISA и Cisco

Интересен момент е, че:

• Cybersecurity and Infrastructure Security Agency твърди, че уязвимостта се експлоатира активно
• Cisco заявява, че няма публични данни за злоупотреба

Това разминаване не е необичайно и често се дължи на различни източници на разузнавателна информация.

Допълнителни рискове около SD-WAN

Проблемът не е изолиран. Само седмица след първоначалния пач, Cisco потвърди, че други уязвимости:

• CVE-2026-20128
• CVE-2026-20122

вече се използват в реални атаки.

Освен това, по-рано през годината беше установена и критична zero-day уязвимост (CVE-2026-20127), която позволява:

• заобикаляне на автентикация
• добавяне на злонамерени peer устройства в мрежата

Исторически контекст

През последните години CISA е идентифицирала:

• 91 уязвимости в Cisco като активно експлоатирани
• поне 6 от тях са използвани в ransomware атаки

Това показва, че мрежовата инфраструктура остава приоритетна цел за атакуващите.

Какво изисква CISA

Агенцията препоръчва:

• незабавно прилагане на наличните пачове
• оценка на експозицията на SD-WAN устройствата
• следване на директиви като Emergency Directive 26-03
• прекратяване на използването на продукта, ако не може да бъде защитен

3ащо този случай е критичен

Тази уязвимост е особено опасна поради:

1. Липса на автентикация
Позволява атака без предварителен достъп.

2. Централизиран контрол
Компрометиране на SD-WAN Manager дава достъп до множество устройства.

3. Подготовка за по-дълбока атака
Изтичането на информация може да бъде използвано за последващи експлойти.

Случаят с CVE-2026-20133 подчертава колко критични са уязвимостите в мрежовите контролни системи. Когато централен компонент като Catalyst SD-WAN Manager бъде компрометиран, последствията могат да засегнат цялата инфраструктура.

В подобни ситуации времето за реакция не е просто фактор – то е решаващо.