- O vulnerabilitate critică în Cisco Catalyst SD-WAN a fost exploatată ca zero-day timp de cel puțin două luni înainte de dezvăluirea publică, conform Mandiant.
O vulnerabilitate de securitate recent dezvăluită în soluția Cisco Catalyst SD-WAN a fost exploatată activ de un atacator necunoscut cu cel puțin două luni înainte de a fi făcută publică. Cercetătorii de la Mandiant (deținut de Google) au descoperit că vulnerabilitatea, identificată ca CVE-2026-20245, era deja folosită în atacuri reale.
Detalii despre vulnerabilitate
Vulnerabilitatea CVE-2026-20245 are un scor CVSS de 7.8, fiind considerată de severitate ridicată. Pentru a fi exploatată, un atacator trebuie să aibă acces autentificat la sistem, dar odată ce acest acces este obținut, poate executa comenzi arbitrare cu privilegii ridicate. Aceasta înseamnă că un atacator poate prelua controlul complet al dispozitivului afectat, inclusiv acces root, și poate instala malware sau modifica configurațiile rețelei.
Cum a fost descoperită exploatarea
Mandiant a identificat că vulnerabilitatea era exploatată ca zero-day încă dinainte ca producătorul sau comunitatea de securitate să o cunoască. Atacatorul a reușit să obțină acces root la dispozitivele Cisco Catalyst SD-WAN, dar nu s-au dezvăluit detalii specifice despre metoda de exploatare sau despre entitățile vizate. Descoperirea subliniază importanța monitorizării continue a amenințărilor și a colaborării între companii de securitate și producători.
Măsuri de protecție recomandate
Deși Cisco nu a confirmat public un patch, utilizatorii sunt sfătuiți să aplice imediat orice actualizare de securitate oferită de producător. De asemenea, este recomandată revizuirea jurnalelor de acces și monitorizarea activității suspecte pe dispozitivele SD-WAN. Restricționarea accesului local doar la utilizatori autorizați și utilizarea autentificării cu mai mulți factori pot reduce riscul de exploatare.
Ce înseamnă pentru tine
Dacă administrezi o rețea care utilizează Cisco Catalyst SD-WAN, verifică de urgență dacă ai instalat cele mai recente actualizări de securitate. Monitorizează logurile pentru semne de compromitere, cum ar fi comenzi neobișnuite sau crearea de utilizatori noi. Asigură-te că accesul local la dispozitive este strict controlat și limitează expunerea la rețea.