攻击者正在利用未修补的Cisco SD-WAN漏洞

思科（Cisco）近日向用户发出警告，其企业级网络管理系统 Catalyst SD-WAN Manager 中存在一个正被攻击者积极利用的高危漏洞。该系统此前已多次成为黑客攻击的目标。此次漏洞位于命令行界面（CLI），允许已获认证的攻击者将权限提升至 root 级别，从而完全控制整个系统。

漏洞详情与风险等级

该漏洞追踪编号为 CVE-2026-20245，在 CVSS 评分体系中被评为 7.8 分（高危），未达到"严重"级别，原因在于利用该漏洞需要具备本地访问权限及网络管理员（netadmin）权限。然而，这些权限可通过窃取的凭据获取，也可借助身份验证绕过漏洞（如同样编号为 CVE-2026-20245 或 CVE-2026-20127 的漏洞）来实现，上述两个旧漏洞分别已于今年 5 月和 2 月完成修复。

攻击背景与威胁来源

旧版身份验证绕过漏洞此前曾被一个网络间谍威胁行为者所利用，思科 Talos 将其追踪标记为 UAT-8616。目前尚不清楚此次新漏洞是否由同一组织在针对企业 SD-WAN 部署的攻击活动中加以利用。值得注意的是，此漏洞由谷歌旗下专注于事件响应的 Mandiant 部门向思科报告。

思科在安全公告中表示："该漏洞源于对用户提供输入的验证不足。攻击者可通过向受影响系统上传精心构造的文件来利用此漏洞。一旦攻击成功，攻击者将能够对受影响系统执行命令注入攻击，并将权限提升至 root 用户级别。"

缓解措施与应对建议

目前该漏洞尚无对应补丁，思科建议用户升级至最新可用版本，以确保旧版身份验证绕过漏洞无法被继续利用。此外，用户还应检查边缘设备的配置情况，因为思科已发现多起因该漏洞被利用而导致设备配置遭到篡改的案例。

在升级 SD-WAN 部署之前，建议用户保存所有相关日志文件，并执行 request admin-tech 命令，从各控制组件收集 admin-tech 文件。

思科已发布入侵指标（IoC），相关信息可在 /var/log/ 目录下的 scripts.log 文件中查看。但由于日志中恶意命令与合法命令调用难以区分，一旦发现入侵指标，用户应立即联系思科技术援助中心（TAC）。

思科进一步指出："如果日志显示存在入侵指标，且系统已确认遭到入侵，则仅靠应用软件更新并不能解决问题。在此类情况下，请遵循思科技术援助中心（TAC）提供的具体修复步骤，以帮助恢复系统安全。"

Q&A

Q1：CVE-2026-20245 漏洞的危害有多大？

A：CVE-2026-20245 是思科 Catalyst SD-WAN Manager 命令行界面中的一个高危漏洞，CVSS 评分为 7.8。已获认证的攻击者可利用该漏洞上传恶意文件，执行命令注入攻击，并将权限提升至 root 级别，进而完全控制受影响系统。虽未达到"严重"评级，但结合可被用于获取所需权限的身份验证绕过漏洞，实际风险极高。

Q2：目前思科 SD-WAN 漏洞有补丁可以用吗？

A：目前该漏洞尚无专项补丁发布。思科建议用户先升级至最新可用版本，以防止旧版身份验证绕过漏洞被利用。同时，用户应保存日志文件并收集 admin-tech 文件。如果系统已确认遭到入侵，仅更新软件不足以解决问题，需联系思科技术援助中心（TAC）获取具体的修复指导。

Q3：如何判断思科 SD-WAN 系统是否已被入侵？

A：思科已公布入侵指标（IoC），用户可在受影响设备 /var/log/ 目录下的 scripts.log 文件中查找相关迹象。不过，由于恶意调用与正常命令调用在日志中难以区分，建议一旦发现可疑指标，应立即联系思科技术援助中心（TAC）进行核实，并获取针对性的修复方案。