Cisco SD-WAN Manager: aktivně zneužívaná zranitelnost bez záplaty ohrožuje vládní sítě i komerční nasazení
Cisco potvrdilo aktivní zneužívání zranitelnosti CVE-2026-20245 v produktu Catalyst SD-WAN Manager, dříve označovaném jako SD-WAN vManage. Záplata není k dispozici, zranitelná jsou nasazení v on-premises prostředích, komerčním cloudu i federálním vládním cloudu FedRAMP. Jde o sedmý aktivně zneužitý bezpečnostní nedostatek v Cisco SD-WAN produktech v letošním roce.
Zranitelnost má hodnocení CVSS 7.8 a tkví v nedostatečné validaci uživatelem dodaného vstupu v příkazovém rozhraní produktu. Útočník může nahrát speciálně připravený soubor a prostřednictvím command injection útoku získat práva uživatele root. K úspěšnému útoku jsou vyžadována oprávnění netadmin na napadeném systému – na první pohled nezanedbatelná podmínka. Ve skutečnosti je to jen formální omezení, protože v kombinaci s dříve zneužitými zranitelnostmi CVE-2026-20182 a CVE-2026-20127 ji útočník snadno překoná.
CVE-2026-20182 je kritická zranitelnost s hodnocením CVSS 10.0, kterou v květnu 2026 zveřejnil Rapid7. Jde o obejití autentizace umožňující neautentizovanému vzdálenému útočníkovi získat správcovská oprávnění. CVE-2026-20127 je analogická zranitelnost, u níž Cisco zdokumentovalo zneužití skupinou označovanou jako UAT-8616 nejpozději od roku 2023. Obě zranitelnosti byly zneužívány jako zero-day exploity ještě před vydáním záplat. Celý útočný řetězec tedy vypadá takto: útočník nejprve bez přihlašovacích údajů získá správcovská oprávnění přes CVE-2026-20182 nebo CVE-2026-20127 a teprve poté zneužije CVE-2026-20245 k eskalaci na úroveň root a ke spuštění libovolných příkazů.
Závažnost situace zdůrazňuje skutečnost, že ve sledovaných případech zneužití CVE-2026-20245 útočník provedl konfigurační změnu, která se následně propagovala i na hraniční zařízení (edge devices) síťové infrastruktury. Cisco SD-WAN Manager slouží jako centralizovaná řídicí rovina pro rozsáhlé podnikové sítě; kompromitace řídicí roviny s právy root tak otevírá cestu k ovládnutí celé spravované síťové infrastruktury. Zranitelnost objevili a nahlásili výzkumníci Google Mandiant: Chester Sng, Pete Boonyakarn a Logeswaran Nadarajan.
Pro CVE-2026-20245 nejsou dostupné žádné záplaty ani přímé záchytné prostředky. Cisco doporučuje zajistit, aby nasazení obsahovalo opravy pro CVE-2026-20182 vydané 14. května 2026, a zároveň sledovat soubor /var/log/scripts.log na přítomnost indikátorů kompromitace. V logu se hledají záznamy odkazující na neobvyklé cesty k souborům v domovských adresářích uživatelů nebo na nestandardní CSV soubory předávané do systémových skriptů pro nahrávání sériových čísel a konfigurací. Cisco také varuje, že systémy dostupné z internetu jsou ve zvýšeném riziku napadení.
Souběžně Cisco oznámilo záplatu pro CVE-2026-20230 v produktu Unified Communications Manager (CVSS 8.6), pro niž je veřejně dostupný proof-of-concept exploit; v tomto případě zatím není potvrzené aktivní zneužití.
Série zneužitých zranitelností v SD-WAN platformě v průběhu jediného roku odráží systematický zájem útočníků o síťové řídicí prvky. Organizace provozující Cisco Catalyst SD-WAN Manager by měly neprodleně ověřit verzování nasazeného softwaru, aplikovat veškeré dostupné záplaty pro celou řadu CVE-2026-201xx a intenzivněji monitorovat logy řídicí roviny.
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 24
Malware ovládá tisíce webů přes Steam, Gemini se nechá oklamat a balíčky Red Hatu kradou vývojářům přihlašovací údaje
