Cisco修复SD-WAN漏洞,已发现遭主动利用迹象

思科发布补丁,修复Catalyst SD-WAN Manager软件中的CVE-2026-20262漏洞。该漏洞源于文件上传过程中对用户输入验证不足,经身份验证的远程攻击者可通过构造HTTP请求创建或覆盖系统文件,进而提权至root。漏洞影响所有部署类型,包括本地部署及云端管理方案。由于SD-WAN Manager是集中控制平面,一旦被攻破,可能波及多个分支机构,导致网络中断、流量分段失效及业务应用受损。思科建议立即升级,无可用临时方案。

Cisco已针对其Catalyst SD-WAN Manager软件中的一个安全漏洞发布修复补丁。该漏洞存在被有限利用的迹象,经认证的攻击者可借此创建或覆盖文件,进而获取root权限。

该漏洞编号为CVE-2026-20262,影响Cisco Catalyst SD-WAN Manager(前身为SD-WAN vManage)的Web界面。企业通常使用该软件管理分布式网络环境中的SD-WAN部署。

Cisco表示,该漏洞源于文件上传过程中对用户输入验证不足。拥有有效凭据且至少具备写权限的经认证远程攻击者,可通过向受影响的API端点发送构造好的HTTP请求来利用该漏洞,成功利用后可在底层操作系统中创建或覆盖任意文件,并进一步将权限提升至root级别。

Cisco指出,该漏洞影响所有部署类型,无论设备配置如何,涵盖本地部署、Cisco SD-WAN Cloud-Pro、Cisco托管的SD-WAN Cloud以及面向政府的Cisco SD-WAN。Cisco表示目前没有可用的变通方案,建议用户升级至已修复的软件版本。

Cisco将该漏洞评定为中等严重性风险。虽未提供漏洞利用活动的详情,但建议管理员检查SD-WAN Manager日志,重点关注index.jsp和.war文件的上传尝试。

该风险并不局限于单一设备或端点。Cisco Catalyst SD-WAN Manager作为SD-WAN环境的集中控制节点,管理层面一旦被攻破,将对企业造成更广泛的运营影响。

Confidis创始人兼CEO Keith Prabhu表示:"对Cisco Catalyst SD-WAN Manager的root访问权限可能演变为全网范围的控制平面被攻陷,进而影响分支机构的可用性、流量分段、云连接以及关键业务应用的可用性与完整性。这可能导致收入损失、因分支机构失去广域网连接而引发的运营中断、安全暴露、事件响应成本上升以及整体声誉受损。"

曾在Cisco从事网络安全治理工作的网络安全研究员Devashri Datta表示,对SD-WAN Manager的root访问权限可能使攻击者向大量分支路由器推送破坏性配置模板或清除本地策略。由于企业网络分段通常通过集中化的SD-WAN策略来实施,一旦控制器被攻陷,还可能被用于修改流量隔离规则,包括与虚拟路由转发实例相关的策略,从而在此前相互隔离的环境之间实现横向移动。

Datta补充称,攻击者还可能操控云流量调度策略或降低关键系统的应用感知路由设置,从而影响ERP平台或实时数据库等服务。

HFS Research副实践负责人Akshat Tyagi表示,此类攻陷造成的影响可能超出传统安全事件的范畴,因为通过SD-WAN控制台所做的变更最初可能看起来像是常规的网络或配置问题,这会使攻击更难被发现,尤其是在安全团队将其识别为恶意行为之前,已经出现分支连接中断、SaaS访问异常或流量路由问题的情况下。

安全专家建议,安全团队应将SD-WAN编排系统中的漏洞视为更广泛的管理平面风险,而非单纯的补丁问题。

Prabhu表示:"CISA和NSA已就架构、暴露面和管理平面安全卫生发布了相关指导意见,这超出了针对单个CVE逐一打补丁的范畴。攻击者正以SD-WAN控制器为目标,试图获取对路由、分段和安全策略的全网控制权,可能同时影响多个站点。因此,有必要将SD-WAN Manager视为Tier-0核心资产加以对待:对其进行隔离加固,严格管控和监控访问,并在架构设计中预先考虑控制器可能被攻陷的场景。"

Datta表示,首席信息安全官不应将网络编排平台中的漏洞视为常规打补丁事件,因为管理平面是软件定义基础设施中的核心信任层。"当一个平台反复出现输入验证不足或认证绕过等结构性弱点时,这表明该供应商内部的安全软件开发生命周期在守护其核心信任边界方面存在困难。"

她还指出,紧急广域网更新可能给全球企业带来运营摩擦,因为需要在支撑分支机构和云连接的基础设施上进行测试、安排变更窗口,并制定回滚计划。

Tyagi建议,首席信息安全官应借此事件审查谁可以访问SD-WAN管理控制台、谁拥有管理员权限,以及是否已经发生异常活动。

专家指出,打补丁仍是当务之急,但企业还应限制对SD-WAN管理界面的访问、要求使用抗钓鱼多因素认证、将编排系统与企业通用网络隔离,并将管理器和边缘路由器的遥测数据持续传输至独立的SIEM系统。

Datta还建议,企业应向网络供应商积极争取软件供应链透明度,包括软件物料清单和VEX数据,以便在推送紧急升级之前评估自身暴露情况。

Q&A

Q1:CVE-2026-20262漏洞具体是如何被利用的?

A:该漏洞存在于Cisco Catalyst SD-WAN Manager的Web界面中,根源在于文件上传过程中对用户输入验证不足。拥有有效凭据且至少具备写权限的经认证远程攻击者,可向受影响的API端点发送构造好的HTTP请求,成功后可在底层操作系统中创建或覆盖任意文件,并进一步将权限提升至root级别。

Q2:Cisco Catalyst SD-WAN Manager被攻陷后会有哪些影响?

A:一旦攻击者获得root权限,可能造成全网范围的控制平面被攻陷,影响分支机构可用性、流量分段、云连接及关键业务应用。攻击者还可能推送破坏性配置、清除本地策略、修改流量隔离规则,甚至影响ERP平台和实时数据库等核心系统,同时由于攻击初期可能伪装成普通配置问题,检测难度较高。

Q3:企业应如何应对Cisco SD-WAN Manager的安全漏洞?

A:企业应立即升级至Cisco已修复的软件版本,同时检查SD-WAN Manager日志是否存在异常文件上传行为。此外,还需限制管理界面访问权限,要求使用抗钓鱼多因素认证,将编排系统与企业通用网络隔离,并将遥测数据持续传输至独立SIEM系统。同时建议向供应商索取软件物料清单,以便全面评估安全暴露面。

来源:Networkworld

0赞

好文章,需要你的鼓励

2026

06/17

17:52

分享

点赞

邮件订阅