В Cisco Catalyst SD-WAN закрыли новый 0-day: злоумышленники получали админский доступ без пароля

14 мая 2026 года Cisco опубликовала advisory по CVE-2026-20182. Это новая ошибка в механизме peering-аутентификации Catalyst SD-WAN. Через специально сформированные запросы атакующий может войти в уязвимую систему как внутренний высокопривилегированный пользователь без root-прав. Доступ к NETCONF после этого даёт возможность менять сетевую конфигурацию SD-WAN-фабрики.

Уязвимость затрагивает Cisco Catalyst SD-WAN Controller, ранее известный как SD-WAN vSmart, и Cisco Catalyst SD-WAN Manager, ранее SD-WAN vManage. Риск есть и для on-prem-развёртываний, и для SD-WAN Cloud. Cisco указала, что полных workaround для CVE-2026-20182 нет. Единственный полноценный способ закрыть дыру — перейти на исправленную версию ПО.

Проблему нашла Rapid7 во время анализа другой уязвимости Cisco SD-WAN — CVE-2026-20127, которую закрыли в феврале. Ошибки разные, но бьют в один чувствительный участок: проверку доверенных участников SD-WAN-инфраструктуры.

SD-WAN — это система, которая управляет связностью между филиалами, дата-центрами, облаками и удалёнными площадками. Если атакующий получает доступ к управляющему слою, он может воздействовать на маршрутизацию, сетевые политики, туннели и доверенные peer-узлы.

В реальном сценарии это выглядит так: злоумышленник регистрирует чужое устройство как легитимный peer, получает возможность устанавливать зашифрованные соединения, меняет параметры SD-WAN-фабрики и закрепляется внутри сетевой инфраструктуры. 

Cisco Talos связывает эксплуатацию CVE-2026-20182 с группой UAT-8616. Исследователи считают активность ограниченной, но подтверждённой. Та же группа ранее использовала CVE-2026-20127 для несанкционированного доступа к SD-WAN-системам. После успешной эксплуатации CVE-2026-20182 атакующие пытались добавлять SSH-ключи, менять NETCONF-конфигурации и повышать привилегии до root.

CISA добавила CVE-2026-20182 в каталог Known Exploited Vulnerabilities. Для федеральных гражданских ведомств США установлен срок устранения до 17 мая 2026 года. Уязвимость затрагивает Cisco Catalyst SD-WAN Controller и Cisco Catalyst SD-WAN Manager независимо от конфигурации устройства. Речь про все типы развертывания, включая:

• Развертывание на локальных серверах;

• Cisco SD-WAN Cloud-Pro;

• Облачная платформа Cisco SD-WAN (управляемая Cisco);

• Cisco SD-WAN для государственных структур (FedRAMP).

В феврале CISA уже выпускала предупреждение по продолжающейся эксплуатации Cisco SD-WAN-систем. Рекомендации тогда касались проверки логов, поиска несанкционированных peering-событий, ограничения доступа к управлению и быстрой установки исправлений. Новый майский advisory продолжает ту же линию: Cisco SD-WAN нужно рассматривать как активную цель, а не как редкий крайний случай.

Cisco рекомендует проверять логи на системах Catalyst SD-WAN Controller, особенно если интерфейсы управления или control-plane доступны из интернета. В /var/log/auth.log нужно искать успешные SSH-входы вида Accepted publickey for vmanage-admin с неизвестных IP-адресов. IP нужно сверять с системными IP в Cisco Catalyst SD-WAN Manager: WebUI → Devices → System IP. Неизвестный IP с успешной аутентификацией — повод считать устройство потенциально скомпрометированным и открывать обращение в Cisco TAC.

Второй блок проверки — события peering. В логах Controller могут появляться записи о новых control connection, где peer-type, system-ip, public-ip, site-id или domain-id не совпадают с ожидаемой SD-WAN-топологией. Такие события могут указывать на попытку зарегистрировать rogue peer внутри фабрики.

Cisco также рекомендует собрать admin-tech со всех control-компонентов до обновления: vSmart, vManage и vBond. Это важно для расследования: после апгрейда часть диагностических данных может быть утеряна. Для vSmart Cisco отдельно предупреждает: admin-tech нужно запускать по одному, не одновременно.

Главная проблема CVE-2026-20182 — сочетание трёх факторов: удалённая эксплуатация без учётных данных, административные возможности после входа и отсутствие workaround. Для инфраструктуры SD-WAN это почти худший набор условий. Ошибка находится в механизме доверия между управляющими компонентами, а результат эксплуатации может затронуть маршрутизацию и сетевые политики целой организации.

Дополнительный риск создаёт уже активная экосистема эксплуатации вокруг Cisco SD-WAN. Talos видит отдельные кластеры, которые используют старые уязвимости, публичные PoC, вебшеллы, майнеры, фреймворки удалённого управления и инструменты для сбора учётных данных. Это значит, что непропатченный SD-WAN-узел может заинтересовать разные группы — от операторов сложных целевых атак до более шумных команд, которые ищут доступные системы по интернету.