思科警告SD-WAN漏洞遭实际利用 严重性达最高级

思科披露了一个影响其Catalyst SD-WAN控制器和Catalyst SD-WAN管理器平台的最高严重等级身份验证绕过漏洞，并警告该漏洞已被发现在实际攻击中遭到利用。

此次披露紧接着思科今年2月修补的一个身份验证绕过漏洞。在最新公告中，该公司表示这一新漏洞是在调查此前披露的问题时发现的。

思科在公告中表示："Cisco Catalyst SD-WAN控制器（原SD-WAN vSmart）和Cisco Catalyst SD-WAN管理器（原SD-WAN vManage）中的对等身份验证存在一个漏洞，可能允许未经身份验证的远程攻击者绕过身份验证，并获得受影响系统的管理员权限。"

该公司同时确认，已于2026年5月知悉对该漏洞的"有限利用"。不过，公司并未披露有关攻击或相关威胁行为者的具体细节。

这一零日漏洞目前已通过软件更新修复，建议各组织立即应用补丁，因为目前没有可缓解该漏洞的替代方案。

漏洞成因与攻击路径

根据思科介绍，该漏洞源于SD-WAN设备之间建立控制连接时所使用的身份验证过程中存在的不当验证。攻击者可通过向目标系统发送精心构造的控制连接请求，远程利用该漏洞。

成功利用该漏洞后，攻击者可绕过身份验证，将自己伪装为可信对等方，并获得受影响设备的管理员权限。

思科表示："成功利用该漏洞可使攻击者以内部高权限非root用户账户登录受影响的Cisco Catalyst SD-WAN控制器。利用该账户，攻击者可访问NETCONF，从而操控SD-WAN结构的网络配置。"

该漏洞编号为CVE-2026-20182，CVSS评分达到10.0最高严重级别。思科表示，该漏洞与具体配置无关，这意味着无论部署设置如何，存在漏洞的系统都会暴露在风险之中。

思科特别致谢了Rapid7公司的高级首席安全研究员Stephen Fewer和高级安全研究员Jonah Burgess，二人发现并报告了该漏洞。

监管机构紧急响应

思科于5月披露已发现利用该漏洞的攻击尝试，敦促客户立即升级到已修复的版本。

披露后不久，该漏洞被列入美国网络安全和基础设施安全局（CISA）的已知被利用漏洞目录（KEV）。CISA表示："请遵循适用于云服务的BOD 22-01指南，或在没有缓解措施可用的情况下停止使用该产品。"

这家美国网络安全监管机构要求联邦行政机构在5月17日前完成漏洞修补。

Fewer和Burgess在一篇博客文章中表示："建议客户升级到合适的已修复软件版本。"他们指出修复版本涵盖20.9至26.1.1版本范围。"目前没有可缓解该漏洞的替代方案。"

除软件修复外，思科还发布了运营指南，帮助组织识别可能存在的恶意控制连接。

公告指导管理员使用"show control connections"命令查看现有控制对等关系，并验证所有已连接的对等方，尤其是与SD-WAN管理器系统相关联的对等方。

对于怀疑遭到入侵的组织，建议联系思科技术支持中心，并从受影响设备收集诊断信息。

Q&A

Q1：CVE-2026-20182漏洞具体影响哪些产品？

A：该漏洞主要影响思科的Cisco Catalyst SD-WAN控制器（原SD-WAN vSmart）和Cisco Catalyst SD-WAN管理器（原SD-WAN vManage）两款产品。漏洞与具体配置无关，无论部署设置如何，存在漏洞的系统都会暴露在风险之中。

Q2：CVE-2026-20182漏洞的危害程度有多严重？

A：该漏洞CVSS评分达到10.0的最高严重级别。未经身份验证的远程攻击者可通过发送精心构造的控制连接请求，绕过身份验证并获得管理员权限，进而访问NETCONF操控整个SD-WAN结构的网络配置。

Q3：用户该如何应对CVE-2026-20182漏洞？

A：思科建议用户立即升级到已修复的软件版本，修复版本覆盖20.9至26.1.1。目前没有可用的缓解措施。管理员还应使用"show control connections"命令检查现有对等连接，验证所有已连接的对等方，怀疑被入侵的组织应联系思科技术支持中心。