A Cisco sürgősségi biztonsági frissítést adott ki egy kritikus sérülékenység javítására, amelyet már aktívan kihasználnak a támadók.
A hiba a Cisco Catalyst SD-WAN Manager platformot érinti, és lehetővé teheti, hogy egy alacsony jogosultságú felhasználó teljes, root szintű hozzáférést szerezzen az érintett rendszerhez.
A sérülékenység azonosítója:
CVE-2026-20262
Mivel a Cisco megerősítette a valós támadásokat, a sérülékenység zero-day besorolást kapott.
Mi az a Cisco Catalyst SD-WAN Manager?
Korábbi nevén:
Cisco SD-WAN vManage
Ez a központi menedzsment rendszer:
- vállalati WAN hálózatok kezelésére,
- konfigurációk kiosztására,
- útvonalak kezelésére,
- több ezer hálózati eszköz felügyeletére szolgál.
Egyetlen SD-WAN Manager akár:
6000 hálózati eszközt
is képes vezérelni.
Ezért kompromittálása rendkívül súlyos következményekkel járhat.
Mi okozza a hibát?
A probléma a webes kezelőfelületen található.
A Cisco szerint:
- a fájlfeltöltési folyamat nem ellenőrzi megfelelően a bemeneteket,
- a támadó speciálisan kialakított HTTP kéréseket küldhet,
- tetszőleges fájlokat hozhat létre,
- vagy meglévő fájlokat írhat felül.
A hiba önmagában nem ad root jogosultságot, de lehetőséget biztosít további jogosultságemelésre.
Mit érhet el a támadó?
Sikeres kihasználás esetén:
Fájlok létrehozása
Tetszőleges helyre írhat fájlokat.
Fájlok felülírása
Rendszerfájlok is módosíthatók.
Jogosultságemelés
A támadó root szintre emelkedhet.
Állandó hozzáférés
Backdoor telepíthető.
Hálózati manipuláció
Módosíthatók:
- routing szabályok,
- VPN konfigurációk,
- hálózati policy-k.
Oldalirányú mozgás
További rendszerek kompromittálhatók.
Érintett környezetek
A Cisco szerint minden fő telepítési modell érintett:
- On-Premise Catalyst SD-WAN Manager
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud (Cisco Managed)
- Cisco SD-WAN for Government (FedRAMP)
Aktív támadások már zajlanak
A Cisco PSIRT csapata megerősítette, hogy:
a sérülékenységet már kihasználták valós környezetekben.
A támadók kilétéről nincs hivatalos információ.
Jelenleg nem ismert, hogy:
- ransomware csoport,
- állami hátterű támadó,
- vagy más fenyegetési szereplő áll-e a támadások mögött.
Mire figyeljenek az üzemeltetők?
A Cisco szerint ellenőrizni kell az alábbi naplókat:
vmanage-server.logvmanage-appserver.logserviceproxy-access.logGyanús fájlok
Különösen keresendők:
index.jspvalamint
*.war(Java Web Archive)
fájlok.
Ezek megjelenése rosszindulatú kódfeltöltésre utalhat.
Miért ennyire veszélyes?
A Catalyst SD-WAN Manager sok vállalatnál a hálózat „agya”.
Ha a támadó megszerzi felette az irányítást:
- teljes hálózati topológiát láthat,
- forgalmat irányíthat át,
- VPN kapcsolatokat módosíthat,
- hálózati hátsó ajtókat telepíthet,
- hosszú távú hozzáférést építhet ki.
Gyakorlatilag a teljes WAN infrastruktúra kompromittálható.
Nem ez az első SD-WAN incidens 2026-ban
A Cisco SD-WAN termékcsaládot idén több aktívan kihasznált sérülékenység is érintette:
- CVE-2026-20122
- CVE-2026-20128
- CVE-2026-20133
- CVE-2026-20182
- CVE-2026-20245
- CVE-2026-20262
Ez arra utalhat, hogy a támadók kiemelt célpontként kezelik a központi hálózatmenedzsment rendszereket.
Javasolt intézkedések
Azonnali frissítés
Telepíteni kell a Cisco által kiadott javított verziókat.
Naplóelemzés
Keresni kell:
- szokatlan feltöltéseket,
- JSP fájlokat,
- WAR csomagokat,
- ismeretlen adminisztrációs műveleteket.
Jogosultságok felülvizsgálata
Ellenőrizni kell:
- admin fiókokat,
- API tokeneket,
- új felhasználókat.
Forenzikus vizsgálat
Ha kompromittálás gyanúja merül fel, a patch telepítése önmagában nem elegendő.
Meg kell vizsgálni:
- történt-e behatolás,
- maradt-e hátsó ajtó,
- módosultak-e hálózati konfigurációk.
Miért fontos ez a sérülékenység?
A CVE-2026-20262 nem egy végponti alkalmazást érint.
Ez egy olyan rendszerben található, amely:
- több ezer hálózati eszközt vezérel,
- teljes WAN infrastruktúrát menedzsel,
- gyakran közvetlen kapcsolatban áll a vállalati gerinchálózattal.
Ezért a sikeres kihasználás hatása rendkívül súlyos lehet még akkor is, ha a támadónak kezdetben csak alacsony jogosultsága van.
