«Свои среди чужих». Как злоумышленники подселяют фальшивые узлы в системы Cisco и остаются незамеченными

Пособие для тех, кто привык доверять заводским настройкам.

Cisco предупредила о продолжающихся атаках, в которых злоумышленники используют уязвимости в системе управления сетью Catalyst SD-WAN Manager. Компания призвала администраторов как можно быстрее обновить программное обеспечение уязвимых устройств.

Catalyst SD-WAN Manager, ранее известная как vManage, служит центральной платформой администрирования сети. Система позволяет управлять и отслеживать до 6000 устройств Catalyst SD-WAN через единую панель управления.

Команда Cisco сообщила, что в марте 2026 года зафиксировала активную эксплуатацию двух уязвимостей — CVE-2026-20122 и CVE-2026-20128 . Обновлённое предупреждение дополнило консультативное сообщение компании, опубликованное 25 февраля.

По данным Cisco, злоумышленники пока используют только указанные две ошибки, тогда как другие проблемы безопасности из того же уведомления признаков эксплуатации не показали. Компания советует установить обновлённые версии программного обеспечения, которые закрывают обнаруженные проблемы.

Понравилась новость? У нас есть еще! Вступить

Первая уязвимость, CVE-2026-20122, получила высокий уровень опасности. Ошибка позволяет перезаписывать произвольные файлы. Для атаки требуется удалённый доступ и учётная запись с правами чтения и возможностью работать с API. Вторая проблема — CVE-2026-20128 — относится к категории средней опасности и раскрывает служебную информацию. Эксплуатация требует локального доступа и действующей учётной записи vManage. Cisco подчёркивает, что уязвимости затрагивают Catalyst SD-WAN Manager независимо от конфигурации устройств.

Ранее компания уже сообщала об атаках на инфраструктуру SD-WAN. В конце февраля Cisco признала эксплуатацию ещё одной ошибки — CVE-2026-20127. Уязвимость обхода аутентификации позволяла злоумышленникам захватывать контроллеры сети и добавлять в инфраструктуру поддельные узлы. Подобные устройства маскируются под легитимные элементы сети и помогают атакующим продвигаться глубже внутри инфраструктуры. По данным Cisco, подобные операции ведутся как минимум с 2023 года.

Информацию об атаках опубликовали также государственные структуры США и Великобритании. Агентство CISA выпустило экстренную директиву 26-03. Федеральным ведомствам США поручили провести инвентаризацию систем Cisco SD-WAN, собрать криминалистические данные, установить обновления и проверить инфраструктуру на признаки компрометации.

Помимо этого, Cisco недавно выпустила исправления для ещё двух критических уязвимостей в системе Secure Firewall Management Center. Ошибки CVE-2026-20079 и CVE-2026-20131 позволяют удалённому злоумышленнику без аутентификации получить права root в операционной системе или выполнить произвольный Java-код на не обновлённых устройствах.