В марте 2026 года команда реагирования на инциденты безопасности продуктов Cisco (Cisco PSIRT) официально подтвердила факт активной эксплуатации двух уязвимостей в системе Catalyst SD-WAN Manager, ранее известной как SD-WAN vManage. Компания оперативно выпустила обновления программного обеспечения и детальный список стратегий по снижению рисков, поскольку масштаб атак и стоящие за ними злоумышленники на данный момент остаются неизвестными.
Первая из обнаруженных брешей получила идентификатор CVE-2026-20122 и оценку 7.1 балла по шкале CVSS. Эта уязвимость позволяет злоумышленнику удаленно перезаписывать произвольные файлы в локальной файловой системе. Для успешной атаки хакер должен быть аутентифицирован, иметь действующие учетные данные с правами только для чтения, а также обладать доступом к API на уязвимом устройстве.
Вторая угроза, отслеживаемая как CVE-2026-20128 с оценкой CVSS 5.5, классифицируется как уязвимость раскрытия информации. Данный вектор атаки является локальным и требует от злоумышленника предварительной аутентификации с использованием действительных учетных данных vManage. Эксплуатация этой ошибки приводит к получению атакующим привилегий пользователя агента сбора данных (Data Collection Agent, DCA) в скомпрометированной системе.
Для устранения обеих проблем Cisco настоятельно рекомендует администраторам следовать протоколу «91 – Migrate to a fixed release» (Переход на исправленный релиз). В рамках этой процедуры пользователям версии 20.9 необходимо обновиться до сборки 20.9.8.2, а для версии 20.11 предусмотрен переход на 20.12.6.1. Системы, работающие на базе версии 20.12, требуют обязательной установки сразу двух патчей: 20.12.5.3 и 20.12.6.1.
Владельцам инфраструктуры на версиях 20.13, 20.14 и 20.15 предписано осуществить миграцию на единый защищенный релиз 20.15.4.2. Для более новых поколений программного обеспечения, а именно версий 20.16 и 20.18, компанией Cisco подготовлено и выпущено исправление под номером 20.18.2.1, полностью закрывающее обнаруженные векторы атак.
Помимо немедленной установки обновлений, Cisco разработала комплекс из шести превентивных мер защиты. В первую очередь требуется ограничить доступ к оборудованию из незащищенных сетей и обязательно разместить устройства за межсетевым экраном. Администраторам также необходимо отключить протокол HTTP для веб-интерфейса административного портала Catalyst SD-WAN Manager.
Дополнительные защитные меры включают полное отключение неиспользуемых сетевых сервисов, с особым акцентом на протоколы HTTP и FTP. Крайне важно изменить стандартный пароль администратора, установленный по умолчанию, а также настроить непрерывный мониторинг журналов на предмет любого неожиданного трафика, входящего или исходящего из систем.
Текущие атаки разворачиваются на фоне серии других серьезных инцидентов безопасности, с которыми Cisco столкнулась в конце февраля — начале марта 2026 года. Неделей ранее была раскрыта критическая уязвимость CVE-2026-20127 с максимальной оценкой CVSS 10.0, затрагивающая продукты Cisco Catalyst SD-WAN Controller и Catalyst SD-WAN Manager. Эта брешь активно использовалась высокопрофессиональной хакерской группировкой UAT-8616 с целью создания устойчивого плацдарма в сетях организаций, представляющих высокую ценность.
Кроме того, на текущей неделе марта компания была вынуждена выпустить патчи для решения еще двух проблем максимальной степени критичности (CVSS 10.0) — CVE-2026-20079 и CVE-2026-20131. Обе уязвимости локализованы в продукте Secure Firewall Management Center и представляют собой комбинацию обхода аутентификации и удаленного выполнения кода (RCE). Их успешная эксплуатация позволяет неаутентифицированному удаленному хакеру беспрепятственно выполнять произвольный код Java с правами root на уязвимом устройстве.
Изображение носит иллюстративный характер
Первая из обнаруженных брешей получила идентификатор CVE-2026-20122 и оценку 7.1 балла по шкале CVSS. Эта уязвимость позволяет злоумышленнику удаленно перезаписывать произвольные файлы в локальной файловой системе. Для успешной атаки хакер должен быть аутентифицирован, иметь действующие учетные данные с правами только для чтения, а также обладать доступом к API на уязвимом устройстве.
Вторая угроза, отслеживаемая как CVE-2026-20128 с оценкой CVSS 5.5, классифицируется как уязвимость раскрытия информации. Данный вектор атаки является локальным и требует от злоумышленника предварительной аутентификации с использованием действительных учетных данных vManage. Эксплуатация этой ошибки приводит к получению атакующим привилегий пользователя агента сбора данных (Data Collection Agent, DCA) в скомпрометированной системе.
Для устранения обеих проблем Cisco настоятельно рекомендует администраторам следовать протоколу «91 – Migrate to a fixed release» (Переход на исправленный релиз). В рамках этой процедуры пользователям версии 20.9 необходимо обновиться до сборки 20.9.8.2, а для версии 20.11 предусмотрен переход на 20.12.6.1. Системы, работающие на базе версии 20.12, требуют обязательной установки сразу двух патчей: 20.12.5.3 и 20.12.6.1.
Владельцам инфраструктуры на версиях 20.13, 20.14 и 20.15 предписано осуществить миграцию на единый защищенный релиз 20.15.4.2. Для более новых поколений программного обеспечения, а именно версий 20.16 и 20.18, компанией Cisco подготовлено и выпущено исправление под номером 20.18.2.1, полностью закрывающее обнаруженные векторы атак.
Помимо немедленной установки обновлений, Cisco разработала комплекс из шести превентивных мер защиты. В первую очередь требуется ограничить доступ к оборудованию из незащищенных сетей и обязательно разместить устройства за межсетевым экраном. Администраторам также необходимо отключить протокол HTTP для веб-интерфейса административного портала Catalyst SD-WAN Manager.
Дополнительные защитные меры включают полное отключение неиспользуемых сетевых сервисов, с особым акцентом на протоколы HTTP и FTP. Крайне важно изменить стандартный пароль администратора, установленный по умолчанию, а также настроить непрерывный мониторинг журналов на предмет любого неожиданного трафика, входящего или исходящего из систем.
Текущие атаки разворачиваются на фоне серии других серьезных инцидентов безопасности, с которыми Cisco столкнулась в конце февраля — начале марта 2026 года. Неделей ранее была раскрыта критическая уязвимость CVE-2026-20127 с максимальной оценкой CVSS 10.0, затрагивающая продукты Cisco Catalyst SD-WAN Controller и Catalyst SD-WAN Manager. Эта брешь активно использовалась высокопрофессиональной хакерской группировкой UAT-8616 с целью создания устойчивого плацдарма в сетях организаций, представляющих высокую ценность.
Кроме того, на текущей неделе марта компания была вынуждена выпустить патчи для решения еще двух проблем максимальной степени критичности (CVSS 10.0) — CVE-2026-20079 и CVE-2026-20131. Обе уязвимости локализованы в продукте Secure Firewall Management Center и представляют собой комбинацию обхода аутентификации и удаленного выполнения кода (RCE). Их успешная эксплуатация позволяет неаутентифицированному удаленному хакеру беспрепятственно выполнять произвольный код Java с правами root на уязвимом устройстве.
