Cisco публикува извънредни софтуерни обновления на 25 февруари 2026 г. за критична zero-day уязвимост в Cisco Catalyst SD-WAN. Компанията посочи, че уязвимостта се експлоатира активно, според официалния ѝ бюлетин и последвали национални предупреждения.

Уязвимостта е проследена като CVE-2026-20127. Тя позволява на неавтентикиран отдалечен атакуващ да заобиколи удостоверяването и да получи администраторски права върху засегнатите контролни компоненти.

Какво представлява CVE-2026-20127

Cisco описва проблема като уязвимост от тип „неправилно удостоверяване“. Тя засяга процеса на „peering“ удостоверяване в контролния слой на Catalyst SD-WAN. При успешна атака е възможен пълен административен контрол над SD-WAN средата.

По данни на Cisco уязвимостта засяга Cisco Catalyst SD-WAN Controller (по-рано vSmart) и Cisco Catalyst SD-WAN Manager (по-рано vManage). Компанията заяви, че има „ограничена експлоатация“ в реални атаки и препоръча незабавно обновяване до поправени версии.

Кои институции предупредиха за активна експлоатация

Канадският център за киберсигурност съобщи на 25 февруари 2026 г., че е наясно с активна експлоатация на уязвимостта. Предупреждението е базирано на бюлетина на Cisco от същата дата.

Агенцията за киберсигурност на Сингапур публикува на 26 февруари 2026 г. предупреждение за активна експлоатация. Тя призова администраторите да преминат към поправени версии незабавно.

Рискът за организациите

Националните предупреждения и индустриални анализи описват сценарий, при който атакуващ може да поеме контрол над конфигурации и политики на SD-WAN „fabric“. Рискът нараства, ако управленски или контролни интерфейси са изложени към интернет.

  • Неоторизиран административен достъп до контролния слой.
  • Промяна на мрежови политики и маршрутизация.
  • Добавяне на „rogue“ peer връзки и последващо странично придвижване в инфраструктурата.

Какво публикува Cisco: поправки и указания

Cisco съобщи, че е пуснала софтуерни обновления, които адресират уязвимостта. Компанията посочи, че няма „workaround“, който да реши проблема без ъпгрейд.

Cisco публикува и отделен документ с работен процес за проверка и remediation. Той включва събиране на диагностични пакети (admin-tech) и проверка за индикатори за компрометиране със съдействие на Cisco Technical Assistance Center.

Ключов извод: При уязвима среда приоритетът е проверка за компрометиране и ъпгрейд на всички контролни компоненти (Manager, Controller и Validator), а не частично обновяване.

Какво да направят администраторите

Официалните указания на Cisco и националните предупреждения поставят акцент върху бързо обновяване и ограничаване на експозицията на управленските интерфейси.

  • Ъпгрейд до поправена версия, посочена в бюлетина на Cisco за засегнатия „release train“.
  • Преглед на логове и събития за неоторизирани peer връзки и достъп.
  • Ограничаване на достъпа до управленски интерфейси от интернет и прилагане на по-строги контролни политики.

Случаят отново насочва вниманието към контролните компоненти на SD-WAN като високорискова цел. При компрометиране атакуващ може да влияе на трафик и политики в множество обекти едновременно.