5 июня 2026 года Cisco подтвердила активную эксплуатацию критической уязвимости в Catalyst SD-WAN Manager. Патча нет, workaround отсутствует. Если у вас в сети Cisco SD-WAN — читайте дальше и действуйте сегодня.
Что происходит
CVE-2026-20245 — это command injection в CLI Cisco Catalyst SD-WAN Manager. Атакующий с правами netadmin загружает специально сформированный файл и получает выполнение произвольных команд от root.
Уязвимость обнаружена Mandiant в ходе расследования реальных инцидентов. Cisco PSIRT подтвердил: в нескольких случаях атакующие уже пушили конфигурации на edge-устройства, то есть контролировали не только менеджер, но и всю SD-WAN-фабрику.
Корень проблемы — скрипт /usr/bin/vconfd_script_upload_tenant_list.sh, который не валидирует входные данные при загрузке CSV-файлов с tenant-листами. Встроенные shell-команды в CSV исполняются с привилегиями root.
Кого касается
Все типы развёртывания Cisco Catalyst SD-WAN Manager:
| Тип деплоя | Уязвим? |
|---|---|
| On-Prem | Да |
| Cloud-Pro | Да |
| Cisco Managed Cloud | Да |
| FedRAMP | Да |
Затронутые версии: 20.9 — 20.18 и 26.1.
Если у вас SD-WAN Manager любой из этих версий — вы в зоне риска. Неважно, смотрит ли он в интернет или нет: для эксплуатации нужны netadmin-креды, которые атакующие получают через связанные CVE:
- CVE-2026-20182 — обход аутентификации (патч от 14 мая 2026)
- CVE-2026-20127 — критическая уязвимость, эксплуатируется с 2023 года
⚠️ Если вы не ставили патч CVE-2026-20182 от 14 мая — цепочка эксплуатации для CVE-2026-20245 становится тривиальной.
Как обнаружить компрометацию
1. Проверьте логи скриптов
grep -i "upload_tenant_list" /var/log/scripts.log
Признак компрометации — записи вида:
``
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
`
Любой CSV-файл в /home/admin/ который вы не загружали — подозрителен.
### 2. Проверьте аутентификацию
Accepted publickey for vmanage-admingrep "Accepted publickey for vmanage-admin" /var/log/auth.log | grep -v "KNOWN_IP_LIST"
с неизвестных IP — индикатор эксплуатации CVE-2026-20182, которая используется как ступенька к CVE-2026-20245.
### 3. Аудит конфигураций edge-устройств
/var/log/scripts.log`:show running-config | diff - /path/to/baseline-config
request platform software package install /path/to/update.bin
show admin users
# На файрволе перед vManage
iptables -A INPUT -p tcp --dport 8443 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 8443 -j DROP
request admin-tech
tail -F /var/log/scripts.log | grep --line-buffered "upload_tenant_list"
- Откройте кейс в Cisco TAC — даже если следов компрометации не нашли. При подтверждённой эксплуатации TAC предоставляет специфичные IOC которые не опубликованы.
При первой возможности
- Обновитесь до фиксированных версий связанных CVE:
| Ветка | Фиксированная версия |
|---|---|
| 20.9 | 20.9.9.1 |
| 20.12 | 20.12.5.4 / 20.12.6.2 / 20.12.7.1 |
| 20.15 | 20.15.4.4 / 20.15.5.2 |
| 20.18 | 20.18.2.2 |
| 26.1 | 26.1.1.1 |
ℹ️ Эти версии закрывают CVE-2026-20224, CVE-2026-20209 и CVE-2026-20210. Патч конкретно для CVE-2026-20245 пока не выпущен — следите за обновлениями на sec.cloudapps.cisco.com.
Дедлайн
Патча для CVE-2026-20245 нет. Cisco не называет сроков выпуска. Единственная защита сейчас — закрыть цепочку эксплуатации через CVE-2026-20182 и изолировать management plane.
CISA пока не добавила CVE-2026-20245 в KEV-каталог, но учитывая подтверждённую эксплуатацию — это вопрос дней. Для организаций под FCEB это означает обязательное устранение в течение 2 недель с момента внесения.
❌ Не откладывайте действия до выхода патча. Атакующие уже внутри чужих SD-WAN-фабрик.
Итог
CVE-2026-20245 — активно эксплуатируемый zero-day без патча в Cisco SD-WAN Manager. Закройте вектор входа (CVE-2026-20182), изолируйте менеджмент, проверьте логи. Каждый час без действий — это час, когда атакующий может пушить конфигурации на ваши edge-устройства.