Cisco выпустила исправления для очередной zero-day уязвимости в линейке SD-WAN, которая уже использовалась в атаках. Как сообщает SecurityWeek, CVE-2026-20262 затрагивает Catalyst SD-WAN Manager и позволяет атакующему создавать или перезаписывать произвольные файлы в базовой операционной системе через специально сформированные HTTP-запросы к уязвимому API endpoint.

Компания оценила проблему как среднюю по критичности, потому что для эксплуатации нужны действительные учётные данные как минимум с правом записи. Однако последствия могут быть значительно серьёзнее простой записи файла: Cisco прямо указывает, что такой файл впоследствии может использоваться для повышения привилегий до root. В инфраструктуре SD-WAN это превращает уязвимость в потенциальную точку контроля над управлением сетевыми политиками и маршрутизацией.

Cisco обнаружила дефект внутренними средствами и сообщила, что узнала об эксплуатации в июне 2026 года. Публичных подробностей о конкретных атаках немного: неизвестно, была ли CVE-2026-20262 объединена в цепочку с другими уязвимостями и использовали ли злоумышленники украденные учётные данные. Формулировка о «ограниченных атаках» указывает скорее на целевые операции, чем на массовое автоматическое сканирование.

CISA также добавила CVE-2026-20262 в каталог Known Exploited Vulnerabilities и потребовала от федеральных агентств устранить проблему до 29 июня. Для операторов корпоративных сетей это важный сигнал: даже уязвимость с предварительным требованием авторизации может быстро попасть в рабочие плейбуки атакующих, если доступные учётные данные уже украдены через фишинг, инфостилеры или слабую сегментацию административных интерфейсов.

SecurityWeek отмечает, что это уже восьмая уязвимость Cisco SD-WAN, эксплуатация которой была выявлена в 2026 году. В список входят несколько дефектов 2026 года и более старая CVE-2022-20775. Ранее в июне Cisco раскрывала CVE-2026-20245 как zero-day, а выпуск патчей начался почти через неделю после раскрытия.

Практические меры для администраторов очевидны: установить актуальные исправления Cisco, проверить журналы SD-WAN Manager на необычные HTTP-запросы к API, пересмотреть учётные записи с правом записи, включить многофакторную защиту там, где это возможно, и ограничить доступ к административным интерфейсам через отдельные management-сети или VPN. Важна и проверка целостности файловой системы: если произвольная запись уже была использована, простого патча может быть недостаточно без расследования следов закрепления.

Источник: SecurityWeek, 16 июня 2026