文章总结： 思科警告称CatalystSD-WAN控制器存在严重的认证绕过漏洞CVE-2026-20182（CVSS满分10分），已遭0day攻击利用，攻击者可获取管理员权限操纵整个SD-WAN网络配置。该漏洞影响本地和云部署版本，思科建议立即安装安全更新、限制管理接口访问权限并检查日志中的未授权对等连接活动。CISA已要求联邦机构在5月17日前完成修复。 综合评分： 78 文章分类： 漏洞分析,威胁情报,漏洞预警,解决方案,网络安全

思科：注意已遭利用的满分 SD-WAN 新 0day

Lawrence Abrams Lawrence Abrams

代码卫士

2026年5月15日 14:35 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

思科提醒注意严重的 Catalyst SD-WAN Controller 认证绕过漏洞CVE-2026-20182（CVSS评分满分10分）已遭 0day 攻击利用，可导致攻击者在受陷设备上获得管理员访问权限。

该漏洞影响本地版和 SD-WAN 云部署下的思科 Catalyst SD-WAN 控制器和 Catalyst SD-WAN 管理器。思科在今天发布的一份安全公告中提到，该漏洞源自一个“无法正常运作”的对等认证机制，“攻击者可向受影响系统发送构造的请求，利用该漏洞。成功利用该漏洞可导致攻击者以内部人员、高权限的非 root 用户账号身份登录到受影响的思科 Catalyst SD-WAN 控制器。攻击者可借该账号访问 NETCONF，之后导致攻击者操纵 SD-WAN 整个架构的网络配置。”

思科 Catalyst SD-WAN 是通过中心管理系统连接办事处分支、数据中心和云环境的基于云的软件网络平台，使用一款控制器通过加密连接安全地路由网站之间的流量。

思科表示在5月份检测到威胁行动者们在利用该漏洞，但并未分享关于如何利用的详情。不过从分享的入侵指标 (IOC) 提醒管理员检查 SD-WAN 控制器日志中未授权对等事件可看出，威胁行动者在 SD-WAN 架构中注册恶意设备。攻击者可通过增加一台恶意对等体的方式，将看似合法的恶意设备插入 SD-WAN 环境中，之后该设备在攻击者的控制下设立加密连接和广告网络，从而可能移动到组织机构网络的更深处。

该漏洞是 Rapid7 团队在分析另外一个 SD-WAN 控制器漏洞CVE-2026-20127时发现的，后者也在2023年遭 0day 攻击利用。

修复方案

思科已发布安全更新修复该漏洞，并表示不存在能够完全缓解该问题的应变措施。该公司还建议仅限受信任的内部网络或授权的IP地址访问 SD-WAN 管理和控制面板接口，并审查认证日志中的可疑登录活动。

CISA 已将该漏洞纳入“已知遭利用漏洞 (KEV)” 目录，要求联邦机构在2026年5月17日之前修复该漏洞。

入侵指标

思科督促组织机构从任何暴露到互联网的 Catalyst SD-WAN Controller 系统中查看日志，找到可能表明未授权访问事件或对等连接事件。

思科表示，管理员应该查看 /var/log/auth.log 文件中是否来自未知IP地址、显示“Accepted publickey for vmanage-admin”内容的条目：

2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]

管理员应该对比日志中的IP地址与WebUI＞Devices＞System IP思科 Catalyst SD-WAN 管理器 web UI 中所列的配置系统 IP。如发现未知 IP 地址成功验证，则管理员应该将设备视为已受陷并设立一个 Cisco TAC 开设案例。思科还建议查看 SD-WAN 控制器日志中的未授权对等体活动，因为攻击者可能会尝试在 SD-WAN 架构中注册恶意设备。示例如下：

Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005

思科强烈建议更新至已修复软件版本，这是完全修复该漏洞的唯一方法。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

思科紧急修复高危 ISE 漏洞

思科 IMC 中存在严重的认证绕过漏洞，可用于获取管理员权限

思科修复多个高危 IOS XR 漏洞

思科：注意已遭利用的两个 Catalyst SD-WAN 管理器 0day 漏洞

思科提醒注意满分 Secure FMC 漏洞可用于获取 root 权限

原文链接

https://www.bleepingcomputer.com/news/security/cisco-warns-of-new-critical-sd-wan-flaw-exploited-in-zero-day-attacks/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Lawrence Abrams Lawrence Abrams《思科：注意已遭利用的满分 SD-WAN 新 0day》