文章总结: 思科披露CatalystSD-WANManager存在高严重性漏洞CVE-2026-20245(CVSS7.8),允许认证攻击者通过文件上传注入根级命令执行。该漏洞已被有限利用,攻击者可能推送未授权配置更改。影响所有部署模式,思科尚未发布补丁。建议立即收集取证数据、审计配置并监控异常活动。 综合评分: 84 文章分类: 漏洞分析,应急响应,威胁情报,安全运营,漏洞预警
Cisco SD-WAN 安全漏洞被积极利用用于根级命令执行
原创
网络安全9527 网络安全9527
安全圈的那点事儿
2026年6月5日 19:16 北京
在小说阅读器读本章
去阅读
思科披露了其Catalyst SD-WAN Manager中一个高严重性漏洞,该漏洞正在被实际利用,允许攻击者在受影响系统上执行带有根级权限的任意命令。
该漏洞被追踪为CVE-2026-20245,CVSS评分为7.8,由Cisco Catalyst SD-WAN Manager(前称vManage)命令行接口中输入验证不当(CWE-116)引起。
根据思科的安全公告(cisco-sa-sdwan-privesc-4uxFrdzx),该漏洞使拥有网络管理员权限的认证攻击者能够上传制作文件并执行任意命令,最终完全控制底层系统。
Cisco SD-WAN 安全漏洞
思科产品安全事件响应团队(PSIRT)确认,该漏洞已在有限的真实环境中被利用。在观察到的案例中,攻击者利用该漏洞向SD-WAN边缘设备推送未经授权的配置更改,表明存在潜在的后利用活动,旨在持久化或网络操控。
该漏洞源于文件上传和处理过程中用户输入的验证不足,使攻击者能够注入带有根权限的恶意命令。
尽管该漏洞需要认证访问,但攻击者可以通过有效的凭证或与其他漏洞(如CVE-2026-20182和CVE-2026-20127)串联来获得必要的权限。
这创造了更广泛的攻击面,威胁行为者可以结合多种弱点,在企业SD-WAN环境中获得初始访问权限并升级权限。
该问题影响所有Cisco Catalyst SD-WAN Manager的部署,包括本地安装、Cisco SD-WAN云和Cloud-Pro部署、思科管理环境以及FedRAMP授权的政府系统,无论配置如何。
思科还发布了入侵指标(IOC),帮助组织检测潜在的利用。建议安全团队检查位于 /var/log/ 的 scripts.log 文件,以防涉及意外文件上传或命令执行的可疑条目,尤其是涉及 vconfd_script_upload_tenant_list.sh 等脚本的记录。
然而,思科提醒,这些日志条目可能看起来类似于合法的管理操作,因此准确检测依赖于基线行为分析和细致的关联。
在披露时,思科尚未发布软件补丁或解决该漏洞的解决方案。公司建议组织在进行任何升级前,立即通过请求admin-tech命令在所有SD-WAN控制组件上收集取证数据。
管理员应保留日志,审计边缘设备配置中的未授权更改,若怀疑有入侵,请联系思科TAC。思科还警告,未来的补丁将不会修复已被攻破的系统,因此需要额外的事件响应措施。
Mandiant报告了该漏洞,凸显了威胁情报团队在识别被主动利用漏洞中持续发挥的作用。鉴于SD-WAN管理平台在企业网络中的关键作用,这一问题凸显了保护管理接口、执行严格访问控制以及持续监控异常活动的重要性。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《Cisco SD-WAN 安全漏洞被积极利用用于根级命令执行》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论