یک آسیبپذیری روز صفر در مدیریت SD-WAN سیسکو در حال حاضر در حال بهرهبرداری است — و هیچ وصلهای برای آن وجود ندارد
سیسکو روز پنجشنبه یک هشدار اضطراری در مورد یک آسیبپذیری روز-صفر که به طور فعال مورد بهرهبرداری قرار گرفته است، در محصول Catalyst SD-WAN Manager خود منتشر کرد. این محصول کنترلکننده متمرکزی است که برای مدیریت زیرساخت شبکههای گسترده در محیطهای سازمانی استفاده میشود. هیچ وصلهای برای این آسیبپذیری وجود ندارد. این شرکت به مشتریان خود توصیه میکند تا به عنوان یک راهحل موقت، از یک آسیبپذیری دیگر استفاده کنند تا زمانی که وصله اصلی توسعه یابد.
این آسیبپذیری که با شناسه CVE-2026-20245 ردیابی میشود، دارای نمره شدت ۷.۸ است. این مشکل بر روی رابط خط فرمان Cisco Catalyst SD-WAN Manager در همه انواع استقرار (محلی، ابری، ابر مدیریتشده توسط سیسکو و محیطهای دولتی FedRAMP) تأثیر میگذارد.
نحوه عملکرد
این نقص ناشی از اعتبارسنجی ناکافی ورودی ارائهشده توسط کاربر است. یک مهاجم که قبلاً مجوزهای netadmin را به دست آورده است (از طریق اعتبارنامههای معتبر، سرقت اعتبارنامه، یا با ترکیب این بهرهبرداری با یک نقص جداگانه دور زدن احراز هویت به نام CVE-2026-20182)، میتواند یک فایل ساختهشده خاص را به سیستم آپلود کند. این آپلود باعث تزریق دستوری میشود که دسترسی مهاجم را به سطح ریشه (root) روی میزبان SD-WAN Manager افزایش میدهد.
از این نقطه، خسارت به سرعت تشدید میشود: سیسکو "موارد محدودی" را تأیید کرده است که در آنها بهرهبرداری فعال منجر به تغییرات غیرمجاز در پیکربندی و اعمال آن بر روی دستگاههای لبه در سراسر شبکه گسترده سازمان آسیبدیده شده است. این یک خطر نظری نیست - این همان کاری است که مهاجمان قبلاً انجام دادهاند.
این آسیبپذیری توسط Mandiant، زیرمجموعه امنیت سایبری Google Cloud، در اوایل ماه ژوئن کشف و به تیم واکنش به حوادث امنیتی محصول سیسکو گزارش شد.
اقدام فوری مورد نیاز
هشدار سیسکو به طور مستقیم وصلهای برای CVE-2026-20245 ارائه نمیدهد. در عوض، این شرکت توصیه میکند که به نسخههای نرمافزاری ارتقا دهید که دو آسیبپذیری قبلی - CVE-2026-20182 و CVE-2026-20127 - را برطرف میکنند، زیرا این دو میتوانند پیشنیازهای زنجیره حمله باشند. رفع این نقاط ورودی، یکی از راههای اصلی را که مهاجمان برای به دست آوردن دسترسی netadmin مورد نیاز برای فعالسازی آسیبپذیری روز-صفر استفاده میکنند، از بین میبرد.
پیش از ارتقا، سیسکو به مدیران سیستم توصیه میکند که دستور request admin-tech را از هر مؤلفه کنترلی در استقرار SD-WAN خود اجرا کنند تا هرگونه نشانهای از به خطر افتادن سیستم برای بررسیهای پزشکی قانونی بعدی حفظ شود. برای بررسی اینکه آیا یک سیستم قبلاً هدف قرار گرفته است، مدیران باید فایل /var/log/scripts.log را برای تلاشهای مشکوک به آپلود دادههای پیکربندی Tenant در کنترلکنندههای vSmart بررسی کنند.
اهمیت SD-WAN
Cisco Catalyst SD-WAN در سراسر شبکههای سازمانی، ISPها، سازمانهای دولتی و اپراتورهای زیرساخت حیاتی در سراسر جهان مستقر شده است. SD-WAN Manager مغز مدیریتی این استقرارها است - این سیستم خطمشیهای مسیریابی، قوانین کیفیت خدمات و سیاستهای امنیتی را در میان هزاران دستگاه لبه متصل کنترل میکند.
به خطر افتادن مدیر فقط بر یک دستگاه تأثیر نمیگذارد. این به مهاجمان اهرم فشاری بر کل شبکه میدهد. تأیید اینکه فعالیت بهرهبرداری قبلاً منجر به اعمال تغییرات پیکربندی در دستگاههای لبه شده است، به این معنی است که این یک خطر نظری سازمانی نیست - بلکه یک حادثه فعال است که در سازمانهایی رخ میدهد که هنوز اقدامات کاهشی را اعمال نکردهاند.
اگر سازمان شما از Cisco Catalyst SD-WAN Manager استفاده میکند، این موضوع را به عنوان یک رویداد با اولویت یک (P1) در نظر بگیرید. گزارشهای خود را ممیزی کنید، وضعیت پزشکی قانونی را قبل از وصلهگذاری حفظ کنید و بلافاصله به نسخههایی ارتقا دهید که آسیبپذیریهای پیشنیاز را برطرف میکنند.
منبع: BleepingComputer | HelpNetSecurity