Há cerca de três semanas, os invasores visaram uma falha de segurança no controlador Catalyst SD-WAN da Cisco. Agora a Cisco está mais uma vez alertando sobre uma vulnerabilidade até então desconhecida no Catalyst SD-WAN Manager que está sendo explorada à solta.
Leia mais depois do anúncio
Em um novo comunicado de segurança, a Cisco alerta que invasores locais logados podem executar comandos arbitrários como root, enviando arquivos cuidadosamente elaborados para sistemas vulneráveis (CVE-2026-20245, CVSS). 7,8risco”essePara fazer isso, o agente malicioso deve ter direitos “netadmin” no sistema, seja através de credenciais válidas ou explorando outras vulnerabilidades, como CVE-2026-20182 ou CVE-2026-20127. Se isso acontecer, os invasores poderão usar indevidamente o sistema para enviar alterações de configuração aos dispositivos de borda, o que a Cisco observou no ataque.
A Cisco destacou que os clientes devem atualizar o software corrigido lançado em meados de maio para o ataque acima. A Cisco não distribuiu mais atualizações para falhas de segurança que foram relatadas agora – isso será incluído em versões futuras; Também não há contramedidas temporárias. Antes de atualizar para a versão do software a partir de meados de maio, os administradores devem garantir que os arquivos de log relevantes.
Produtos afetados
As instalações locais também são afetadas, assim como Cisco SD-WAN Cloud-Pro, SD-WAN Cloud-Pro (gerenciado pela Cisco) e SD-WAN for Government (FedRAMP). Após a atualização, o gerente de TI deve verificar o arquivo de log em busca de indicadores de um ataque bem-sucedido (Indicador de Compromisso, IOC). A Cisco escreve que os administradores devem revisar o arquivo “/var/log/scripts.log”. Uma entrada do tipo “15 de abril 09:44:57 vmanage vScript: carregar lista de locatários por número de série vsmart: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0” é suspeita. No entanto, os logs não distinguem entre comandos legítimos e mal utilizados, explicou a Cisco.
(dmk)
