Cisco已針對其Catalyst SD-WAN Manager軟件中的一個安全漏洞發(fā)布修復(fù)補(bǔ)丁。該漏洞存在被有限利用的跡象，經(jīng)認(rèn)證的攻擊者可借此創(chuàng)建或覆蓋文件，進(jìn)而獲取root權(quán)限。

該漏洞編號為CVE-2026-20262，影響Cisco Catalyst SD-WAN Manager（前身為SD-WAN vManage）的Web界面。企業(yè)通常使用該軟件管理分布式網(wǎng)絡(luò)環(huán)境中的SD-WAN部署。

Cisco表示，該漏洞源于文件上傳過程中對用戶輸入驗(yàn)證不足。擁有有效憑據(jù)且至少具備寫權(quán)限的經(jīng)認(rèn)證遠(yuǎn)程攻擊者，可通過向受影響的API端點(diǎn)發(fā)送構(gòu)造好的HTTP請求來利用該漏洞，成功利用后可在底層操作系統(tǒng)中創(chuàng)建或覆蓋任意文件，并進(jìn)一步將權(quán)限提升至root級別。

Cisco指出，該漏洞影響所有部署類型，無論設(shè)備配置如何，涵蓋本地部署、Cisco SD-WAN Cloud-Pro、Cisco托管的SD-WAN Cloud以及面向政府的Cisco SD-WAN。Cisco表示目前沒有可用的變通方案，建議用戶升級至已修復(fù)的軟件版本。

Cisco將該漏洞評定為中等嚴(yán)重性風(fēng)險(xiǎn)。雖未提供漏洞利用活動的詳情，但建議管理員檢查SD-WAN Manager日志，重點(diǎn)關(guān)注index.jsp和.war文件的上傳嘗試。

該風(fēng)險(xiǎn)并不局限于單一設(shè)備或端點(diǎn)。Cisco Catalyst SD-WAN Manager作為SD-WAN環(huán)境的集中控制節(jié)點(diǎn)，管理層面一旦被攻破，將對企業(yè)造成更廣泛的運(yùn)營影響。

Confidis創(chuàng)始人兼CEO Keith Prabhu表示："對Cisco Catalyst SD-WAN Manager的root訪問權(quán)限可能演變?yōu)槿W(wǎng)范圍的控制平面被攻陷，進(jìn)而影響分支機(jī)構(gòu)的可用性、流量分段、云連接以及關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與完整性。這可能導(dǎo)致收入損失、因分支機(jī)構(gòu)失去廣域網(wǎng)連接而引發(fā)的運(yùn)營中斷、安全暴露、事件響應(yīng)成本上升以及整體聲譽(yù)受損。"

曾在Cisco從事網(wǎng)絡(luò)安全治理工作的網(wǎng)絡(luò)安全研究員Devashri Datta表示，對SD-WAN Manager的root訪問權(quán)限可能使攻擊者向大量分支路由器推送破壞性配置模板或清除本地策略。由于企業(yè)網(wǎng)絡(luò)分段通常通過集中化的SD-WAN策略來實(shí)施，一旦控制器被攻陷，還可能被用于修改流量隔離規(guī)則，包括與虛擬路由轉(zhuǎn)發(fā)實(shí)例相關(guān)的策略，從而在此前相互隔離的環(huán)境之間實(shí)現(xiàn)橫向移動。

Datta補(bǔ)充稱，攻擊者還可能操控云流量調(diào)度策略或降低關(guān)鍵系統(tǒng)的應(yīng)用感知路由設(shè)置，從而影響ERP平臺或?qū)崟r數(shù)據(jù)庫等服務(wù)。

HFS Research副實(shí)踐負(fù)責(zé)人Akshat Tyagi表示，此類攻陷造成的影響可能超出傳統(tǒng)安全事件的范疇，因?yàn)橥ㄟ^SD-WAN控制臺所做的變更最初可能看起來像是常規(guī)的網(wǎng)絡(luò)或配置問題，這會使攻擊更難被發(fā)現(xiàn)，尤其是在安全團(tuán)隊(duì)將其識別為惡意行為之前，已經(jīng)出現(xiàn)分支連接中斷、SaaS訪問異常或流量路由問題的情況下。

安全專家建議，安全團(tuán)隊(duì)?wèi)?yīng)將SD-WAN編排系統(tǒng)中的漏洞視為更廣泛的管理平面風(fēng)險(xiǎn)，而非單純的補(bǔ)丁問題。

Prabhu表示："CISA和NSA已就架構(gòu)、暴露面和管理平面安全衛(wèi)生發(fā)布了相關(guān)指導(dǎo)意見，這超出了針對單個CVE逐一打補(bǔ)丁的范疇。攻擊者正以SD-WAN控制器為目標(biāo)，試圖獲取對路由、分段和安全策略的全網(wǎng)控制權(quán)，可能同時影響多個站點(diǎn)。因此，有必要將SD-WAN Manager視為Tier-0核心資產(chǎn)加以對待：對其進(jìn)行隔離加固，嚴(yán)格管控和監(jiān)控訪問，并在架構(gòu)設(shè)計(jì)中預(yù)先考慮控制器可能被攻陷的場景。"

Datta表示，首席信息安全官不應(yīng)將網(wǎng)絡(luò)編排平臺中的漏洞視為常規(guī)打補(bǔ)丁事件，因?yàn)楣芾砥矫媸擒浖x基礎(chǔ)設(shè)施中的核心信任層。"當(dāng)一個平臺反復(fù)出現(xiàn)輸入驗(yàn)證不足或認(rèn)證繞過等結(jié)構(gòu)性弱點(diǎn)時，這表明該供應(yīng)商內(nèi)部的安全軟件開發(fā)生命周期在守護(hù)其核心信任邊界方面存在困難。"

她還指出，緊急廣域網(wǎng)更新可能給全球企業(yè)帶來運(yùn)營摩擦，因?yàn)樾枰谥畏种C(jī)構(gòu)和云連接的基礎(chǔ)設(shè)施上進(jìn)行測試、安排變更窗口，并制定回滾計(jì)劃。

Tyagi建議，首席信息安全官應(yīng)借此事件審查誰可以訪問SD-WAN管理控制臺、誰擁有管理員權(quán)限，以及是否已經(jīng)發(fā)生異?；顒?。

專家指出，打補(bǔ)丁仍是當(dāng)務(wù)之急，但企業(yè)還應(yīng)限制對SD-WAN管理界面的訪問、要求使用抗釣魚多因素認(rèn)證、將編排系統(tǒng)與企業(yè)通用網(wǎng)絡(luò)隔離，并將管理器和邊緣路由器的遙測數(shù)據(jù)持續(xù)傳輸至獨(dú)立的SIEM系統(tǒng)。

Datta還建議，企業(yè)應(yīng)向網(wǎng)絡(luò)供應(yīng)商積極爭取軟件供應(yīng)鏈透明度，包括軟件物料清單和VEX數(shù)據(jù)，以便在推送緊急升級之前評估自身暴露情況。

Q&A

Q1：CVE-2026-20262漏洞具體是如何被利用的？

A：該漏洞存在于Cisco Catalyst SD-WAN Manager的Web界面中，根源在于文件上傳過程中對用戶輸入驗(yàn)證不足。擁有有效憑據(jù)且至少具備寫權(quán)限的經(jīng)認(rèn)證遠(yuǎn)程攻擊者，可向受影響的API端點(diǎn)發(fā)送構(gòu)造好的HTTP請求，成功后可在底層操作系統(tǒng)中創(chuàng)建或覆蓋任意文件，并進(jìn)一步將權(quán)限提升至root級別。

Q2：Cisco Catalyst SD-WAN Manager被攻陷后會有哪些影響？

A：一旦攻擊者獲得root權(quán)限，可能造成全網(wǎng)范圍的控制平面被攻陷，影響分支機(jī)構(gòu)可用性、流量分段、云連接及關(guān)鍵業(yè)務(wù)應(yīng)用。攻擊者還可能推送破壞性配置、清除本地策略、修改流量隔離規(guī)則，甚至影響ERP平臺和實(shí)時數(shù)據(jù)庫等核心系統(tǒng)，同時由于攻擊初期可能偽裝成普通配置問題，檢測難度較高。

Q3：企業(yè)應(yīng)如何應(yīng)對Cisco SD-WAN Manager的安全漏洞？

A：企業(yè)應(yīng)立即升級至Cisco已修復(fù)的軟件版本，同時檢查SD-WAN Manager日志是否存在異常文件上傳行為。此外，還需限制管理界面訪問權(quán)限，要求使用抗釣魚多因素認(rèn)證，將編排系統(tǒng)與企業(yè)通用網(wǎng)絡(luò)隔離，并將遙測數(shù)據(jù)持續(xù)傳輸至獨(dú)立SIEM系統(tǒng)。同時建議向供應(yīng)商索取軟件物料清單，以便全面評估安全暴露面。