Cisco 将更多 SD-WAN 漏洞标记为已在攻击中被积极利用
发布: (2026年3月5日 GMT+8 18:32)
3 分钟阅读
Source: Bleeping Computer
Cisco flags additional SD‑WAN flaws
Cisco 已将另外两个 Catalyst SD‑WAN Manager 安全缺陷标记为正在野外被主动利用,敦促管理员升级受影响的设备。
Catalyst SD‑WAN Manager(前称 vManage)是一款网络管理软件,允许管理员通过单一集中仪表板监控和管理多达 6,000 台 Catalyst SD‑WAN 设备。
“2026 年 3 月,Cisco PSIRT 发现仅有 CVE‑2026‑20128 和 CVE‑2026‑20122 所描述的漏洞被主动利用,”公司警告。
“本通告中其他 CVE 所描述的漏洞尚未发现被利用。Cisco 强烈建议客户升级到已修复的软体版本,以消除这些漏洞。”
- CVE‑2026‑20122 – 高危任意文件覆盖。仅能被拥有有效只读 API 凭证的远程攻击者利用。
- CVE‑2026‑20128 – 中危信息泄露。需要本地攻击者拥有目标系统的有效 vManage 凭证。
Cisco 指出,这些缺陷会影响 Catalyst SD‑WAN Manager 软件本身,且与设备配置无关。
SD‑WAN 零日漏洞自 2023 年起被利用
上周,Cisco 透露一项关键的身份验证绕过漏洞(CVE‑2026‑20127)自 2023 年起已在零日攻击中被利用。该缺陷使高度复杂的威胁行为者能够入侵控制器,并向受攻击网络添加恶意的伪装节点。这些伪装节点看似合法,进而让攻击者能够更深入地渗透受损环境。
在美英两国主管部门联合发布的通告之后,CISA 颁布了 Emergency Directive 26‑03,要求联邦机构:
- 清点 Cisco SD‑WAN 系统。
- 收集取证数据。
- 确保外部日志存储。
- 应用最新更新。
- 调查与针对 CVE‑2026‑20127 以及旧漏洞 CVE‑2022‑20775 的攻击相关的潜在妥协情况。
更近期,Cisco 于本周三发布了安全更新,修补了其 Secure Firewall Management Center(FMC)软件中的两个最高危漏洞:
- CVE‑2026‑20079 – 身份验证绕过。
- CVE‑2026‑20131 – 远程代码执行(RCE),允许未认证的攻击者在未打补丁的设备上以 root 身份执行任意 Java 代码。
这两个缺陷均可被远程利用,攻击者能够获得底层操作系统的 root 级别访问权限。