Cisco hat bestätigt, dass eine kritische Sicherheitslücke bei aktiven Angriffen am Catalyst SD-WAN Controller, registriert als CVE-2026-20182 (CVSS 10.0) die die passende Authentifizierung (Peering) überspringen und den administrativen Zugriff auf betroffene Geräte erreichen kann. Nach der offiziellen Mitteilung von Cisco besteht das Problem, dass der Authentifizierungsmechanismus zwischen Peers "nicht richtig funktioniert", so dass ein Angreifer manipulierte Anfragen senden kann, um sich als legitimes Paar zu registrieren und ein internes Konto mit hohen Privilegien zu erhalten, die Zugriff auf NETCONF und Manipulation der SD-WAN Gewebekonfiguration ermöglichen. Weitere technische Details und Ciscos Mitteilung sind auf der eigenen Seite des Unternehmens verfügbar: Cisco CVE-2026-20182 Beratung.
Die Entdeckung wurde von Cisco auf analytische Arbeit zurückgeführt, die auch die Forschung mit einer früheren Schwachstelle (CVE-2026-20127) von Rapid7; Rapid7 hat eine Analyse veröffentlicht, die kontextualisiert, wie Bypass erkannt wurde und warum der Fehler erlaubt, falsche "Peers" im SD-WAN-Netz zu erstellen: Rapid7: Bericht und Kontext. CISA hat Schwachstellen in seinem Known Exploited Vulnerabilities Catalog enthalten und hat sofortige Patch-Anweisungen für Bundesagenturen gegeben, die die Schwerkraft und potenzielle operative Auswirkungen hervorheben: CISA KEV Katalog.
Der Angriffsvektor ist besonders gefährlich, weil der Schauspieler durch Hinzufügen eines böswilligen Peers verschlüsselte Tunnel einrichten kann, die innerhalb von SD-WAN legitim erscheinen und Routen unter seiner Kontrolle bekanntgeben. Mit NETCONF zur Verfügung, kann ein Eindringling Routing-Richtlinien ändern, Verkehr umleiten, offenen Seitenzugang zu Rechenzentren oder Wolken und weiterhin in Infrastruktur ohne direkten Root-Zugang. Obwohl das durch Ausbeutung gewonnene Konto "no-root" ist, ermöglichen seine internen Privilegien Änderungen mit Auswirkungen auf die Verfügbarkeit, Vertraulichkeit und Integrität des Unternehmensnetzwerks.
Cisco hat Verpflichtungsindikatoren (IOCs) und taktische Empfehlungen veröffentlicht: Überprüfung Authentifizierungsprotokolle (z.B. / var / log / auth.log) auf Internet exponierten Treibern, die nach einem öffentlichen Login für das Verwaltungskonto des Managers suchen, und vergleichen IP-Adressen mit dem im SD-WAN IU konfigurierten "IP-System", um unbefugte Peers zu erkennen. Es empfiehlt sich auch, die Peering Logs des Fahrers zu überprüfen, indem Sie nach Peer Registrierungsereignissen suchen, die nicht der bekannten Topologie entsprechen. Da Cisco behauptet, dass es keine vollständige alternative Minderung gibt, das einzige endgültige Mittel, die korrigierten Versionen von Cisco anzuwenden.
Wenn Sie Catalyst SD-WAN verwalten, sollte die erste Aktion die Möglichkeit der Verpflichtung annehmen, wenn der Computer aus dem Internet zugänglich war und eine unbekannte IP in den Authentifizierungs- oder Peering-Logs erscheint. In diesem Fall empfiehlt Cisco, einen Fall mit TAC zu öffnen; aus der Praxis der Vorfallantwort, neben der Kontaktunterstützung, ist es angebracht, den betroffenen Controller aus dem Netzwerk zu isolieren, forensische Umschaltung von Protokollen und Konfigurationen, Drehschlüssel und Zertifikate, die für die Anpassung und Verwaltung verwendet werden, und betrachten Sie die vollständige Rekonstruktion des Gerätes mit Patch-Software, wenn es Beweise für unberechtigten Zugriff.
Parallel zum Patch reduzieren Sie die Angriffsfläche: beschränken Sie den Zugriff auf Management-Schnittstellen und Kontrollebene auf interne Trust-Netzwerke oder autorisierte IP-Adressen, implementieren Sie Zugriffskontrolllisten auf Edge-Ebene, begrenzen Sie den Umfang des NETCONF-Zugangs und implementieren Sie am wenigsten privilegierte Richtlinien in der Verwaltung von SD-WAN. Implementieren Sie kontinuierliche Erkennung für unerwartete Änderungen in der Konfiguration und überprüfen Sie BGP / telemetrische Routen und Anzeigen, um Injektionen von bösartigen Routen zu erkennen. Diese Maßnahmen helfen, das Risiko zu mindern, während der Patch eingesetzt wird, aber nicht ersetzen.
In Bezug auf Governance und Kontinuität erfordert diese Folge eine Überprüfung der Vertrauenspraktiken zwischen Geräten in SD-WAN-Architekturen: Verwenden Sie zweite Überprüfung der Gültigkeit von Zertifikaten und Schlüsseln, halten Inventar und weiße Liste von System-IPs und zugelassenen Peers, und führen regelmäßige Audits der Kontroll-Plane-Telemetrie. Für Organisationen mit regulatorischer Compliance oder Unterstützung kritischer Dienste, unterstützen Sie Aktionen mit forensischen Aufzeichnungen und benachrichtigen Interessenvertreter und Regulierungsbehörden gegebenenfalls.
Die gemeldete Betriebsgeschwindigkeit und der Eintrag in den CISA-Katalog beinhalten ein echtes und zeitgebundenes Risikofenster: Grundstück sofort, überprüfen Sie Protokolle und machen Verpflichtungen, wenn es Authentifizierungsprotokolle von nicht erkannten PIs gibt. Wenn Sie spezielle technische Beratung oder Unterstützung mit einem laufenden Vorfall benötigen, dokumentieren Sie Protokolldaten und Muster, bevor Sie Änderungen vornehmen, und prüfen Sie professionelle Antwortdienste oder Ciscos eigenen TAC, um Beweise zu erhalten und die Eindämmung zu beschleunigen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...