文章总结： CISA于2026年4月20日将思科CatalystSD-WAN管理器的三个高危漏洞（CVE-2026-20133信息泄露、CVE-2026-20122权限提升、CVE-2026-20128凭证窃取）列入已知利用漏洞目录，攻击者可组合利用这些漏洞完全控制SD-WAN环境。机构需在4月23日前按紧急指令26-03完成修补，否则应停用受影响设备。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,威胁情报,解决方案,网络安全

CISA 提醒防御者注意思科 Catalyst SD-WAN 管理器的安全漏洞已被利用

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年4月21日 19:05 北京

在小说阅读器读本章

去阅读

美国网络安全和基础设施安全局 (CISA) 已向网络防御者发出紧急警告，提醒他们注意 Cisco Catalyst SD-WAN Manager 的恶意攻击。

2026 年 4 月 20 日，CISA 正式将影响该平台的三个不同的安全漏洞添加到其已知利用漏洞 (KEV) 目录中。

Cisco Catalyst SD-WAN Manager 是一个关键的管理控制台，用于配置和维护企业级广域网基础设施。

由于该平台控制着重要的网络流量路由，攻破该平台将使攻击者在企业环境中获得危险的立足点。

联邦机构和私营组织必须在 2026 年 4 月 23 日的严格期限内立即采取缓解措施。

思科的三个被利用的漏洞

• CVE-2026-20133 会将敏感信息暴露给未经授权的攻击者，允许远程攻击者查看机密网络数据。
• CVE-2026-20122 涉及由于文件处理不当而滥用特权 API，允许攻击者覆盖系统文件并获得强大的 vManage 权限。
• CVE-2026-20128 源于以可恢复格式存储密码，这使得低权限的本地攻击者能够获取凭据文件并提升到 DCA 用户权限。

这些漏洞叠加在一起，对整个网络的完整性构成了重大威胁。

攻击者可能首先远程收集敏感数据，然后利用 API 漏洞修改关键系统文件。

一旦威胁行为者获得 vManage 或 DCA 用户权限，他们实际上就完全控制了 SD-WAN 管理环境。

虽然CISA 已确认这些漏洞已被积极利用，但目前尚不清楚勒索软件团伙是否已将这些特定漏洞纳入其攻击策略中。

尽管如此，仅有三天时间进行补救，这凸显了威胁的严重性。

网络管理员必须迅速采取行动，保护其基础设施免受这些持续不断的攻击。

各组织被指示严格遵守 CISA 的紧急指令 26-03，以评估其风险敞口并正确修补易受攻击的系统。

安全团队还应彻底审查 Cisco SD-WAN 设备的官方狩猎和加固指南，以检测潜在的安全漏洞并保护其配置。

如果平台托管在云端，则防御者必须遵守具有约束力的操作指令 BOD 22-01。

CISA明确警告，如果组织不能及时采取这些缓解措施，则必须完全停止使用受影响的产品，以保护其网络。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《CISA 提醒防御者注意思科 Catalyst SD-WAN 管理器的安全漏洞已被利用》