Cisco确认两个Catalyst SD-WAN Manager漏洞遭到恶意利用

Cisco公司披露，影响Catalyst SD-WAN Manager（原名SD-WAN vManage）的另外两个漏洞已在野外遭到恶意攻击。

这些漏洞包括：

CVE-2026-20122（CVSS评分：7.1）- 任意文件覆盖漏洞，可能允许经过身份验证的远程攻击者覆盖本地文件系统上的任意文件。成功利用需要攻击者在受影响系统上拥有具有API访问权限的有效只读凭据。

CVE-2026-20128（CVSS评分：5.5）- 信息泄露漏洞，可能允许经过身份验证的本地攻击者在受影响系统上获得数据收集代理（DCA）用户权限。成功利用需要攻击者在受影响系统上拥有有效的vManage凭据。

Cisco公司已于上月底发布了针对这些安全漏洞以及CVE-2026-20126、CVE-2026-20129和CVE-2026-20133的补丁，修复版本如下：

20.91版本之前 - 迁移至修复版本

版本20.9 - 在20.9.8.2中修复

版本20.11 - 在20.12.6.1中修复

版本20.12 - 在20.12.5.3和20.12.6.1中修复

版本20.13 - 在20.15.4.2中修复

版本20.14 - 在20.15.4.2中修复

版本20.15 - 在20.15.4.2中修复

版本20.16 - 在20.18.2.1中修复

版本20.18 - 在20.18.2.1中修复

这家网络设备制造商表示："2026年3月，Cisco PSIRT发现CVE-2026-20128和CVE-2026-20122漏洞遭到恶意利用。"公司未详细说明攻击活动的规模以及幕后攻击者身份。

鉴于漏洞正被恶意利用，建议用户尽快更新至修复版本，并采取以下措施：限制来自不安全网络的访问、在防火墙后保护设备安全、为Catalyst SD-WAN Manager网页管理门户禁用HTTP、关闭不必要的HTTP和FTP等网络服务、更改默认管理员密码，以及监控日志流量以发现任何异常的系统进出流量。

此次披露发生在公司宣布Cisco Catalyst SD-WAN Controller和Catalyst SD-WAN Manager中一个关键安全漏洞（CVE-2026-20127，CVSS评分：10.0）被编号为UAT-8616的高度复杂网络威胁行为者利用以在高价值组织中建立持久立足点的一周之后。

本周，Cisco还发布了更新来解决安全防火墙管理中心的两个最高严重性安全漏洞（CVE-2026-20079和CVE-2026-20131，CVSS评分：10.0），这些漏洞可能允许未经身份验证的远程攻击者绕过身份验证并在受影响设备上以root权限执行任意Java代码。

Q&A

Q1：CVE-2026-20122漏洞有什么危害？

A：CVE-2026-20122是一个任意文件覆盖漏洞，CVSS评分为7.1。攻击者可以利用这个漏洞覆盖本地文件系统上的任意文件，但需要拥有具有API访问权限的有效只读凭据。

Q2：如何防护Cisco SD-WAN Manager漏洞攻击？

A：建议立即更新到修复版本，限制来自不安全网络的访问，在防火墙后保护设备，禁用HTTP管理门户，关闭不必要的网络服务，更改默认管理员密码，并监控日志流量异常。

Q3：哪些Cisco SD-WAN Manager版本需要更新？

A：20.91版本之前的所有版本都需要迁移至修复版本。具体包括版本20.9需更新至20.9.8.2，版本20.12需更新至20.12.5.3或20.12.6.1，版本20.13-20.15需更新至20.15.4.2等。