Cisco публикува спешно предупреждение за критична уязвимост в платформата Cisco Catalyst SD-WAN, която вече се използва в реални zero-day атаки. Уязвимостта позволява заобикаляне на автентикацията и придобиване на административни привилегии върху засегнатите устройства.

Проблемът е идентифициран като CVE-2026-20182 и получава максимална оценка за критичност – CVSS 10.0.

Какво представлява CVE-2026-20182

Уязвимостта засяга:

• Cisco Catalyst SD-WAN Controller
• Cisco Catalyst SD-WAN Manager
• on-premises инсталации
• SD-WAN Cloud среди

Според Cisco проблемът произтича от неправилно функциониращ механизъм за peering authentication.

Атакуващите могат да изпращат специално подготвени заявки към уязвимите системи и да получат достъп като вътрешен високопривилегирован потребител без root права.

Какви са рисковете

След успешна експлоатация нападателят може да:

• получи достъп до NETCONF интерфейса;
• манипулира SD-WAN мрежовите конфигурации;
• добавя rogue peer устройства;
• установява криптирани връзки в инфраструктурата;
• рекламира маршрути под собствен контрол;
• придвижва се странично във вътрешната мрежа.

Това прави уязвимостта особено опасна за корпоративни среди с разпределена SD-WAN инфраструктура.

Cisco потвърди активни zero-day атаки

Компанията съобщава, че е засекла експлоатация на CVE-2026-20182 още през май 2026 г., но към момента не разкрива подробности за използваните техники или за засегнатите организации.

Cisco предупреждава администраторите да проверят за:

• неоторизирани peering събития;
• неизвестни System IP адреси;
• подозрителни логове за автентикация;
• rogue устройства в SD-WAN fabric.

Индикатори за компрометиране (IOC)

Компанията препоръчва преглед на файла:

/var/log/auth.log

за съмнителни записи от типа:

Accepted publickey for vmanage-admin

от непознати IP адреси.

Администраторите трябва да сравнят IP адресите в логовете с конфигурираните System IP адреси в:

WebUI > Devices > System IP

Cisco предупреждава, че ако бъде открито успешно удостоверяване от непознат IP адрес, устройството трябва да се счита за компрометирано.

Rogue peer устройствата са основният риск

Особено опасен аспект на атаките е възможността за регистриране на rogue peer устройства в SD-WAN инфраструктурата.

След добавяне на злонамерено устройство нападателят може:

• да се представя като легитимен SD-WAN компонент;
• да установява криптирани тунели;
• да прихваща или пренасочва трафик;
• да разширява достъпа си във вътрешната мрежа.

Cisco публикува примерни логове за подозрителни peering събития:

control-connection-state-change new-state:up peer-type:vmanage

Връзка с друга активно експлоатирана уязвимост

Уязвимостта е открита от Rapid7 по време на анализ на друга Cisco SD-WAN слабост – CVE-2026-20127, коригирана през февруари.

Според Cisco група, проследявана като UAT-8616, е използвала CVE-2026-20127 още от 2023 г. за създаване на rogue peers в корпоративни среди.

Няма пълно workaround решение

Cisco вече е публикувала защитени версии на софтуера и подчертава, че няма workaround, който напълно да елиминира риска.

Компанията препоръчва:

• незабавно обновяване до фиксираните версии;
• ограничаване на достъпа до SD-WAN management интерфейсите;
• разрешаване на достъп само от доверени IP адреси;
• мониторинг на authentication логовете;
• проверка за неоторизирани peer устройства.

CISA издаде спешна директива

Cybersecurity and Infrastructure Security Agency вече добави CVE-2026-20182 към каталога си с активно експлоатирани уязвимости (Known Exploited Vulnerabilities Catalog).

Американските федерални агенции са получили краен срок до 17 май 2026 г. за прилагане на необходимите обновления.

Случаят подчертава продължаващия интерес на атакуващите към SD-WAN инфраструктури, които все по-често се превръщат в ключова точка за достъп до корпоративни мрежи и критични среди.