Cisco SD?WAN eta Nexus-en ahultasun kritikoak

Argitalpen-data: 

Laburpen exekutiboa

Cisco Catalyst SD‑WAN eta Nexus eta ACI plataforma ezberdinetan argitaratutako ahultasun kritikoek autentifikazio, pribilegio-eskalada, informazio-zabalkuntza eta zerbitzuaren ukapenari lotutako akats larriak agerian uzten dituzte. Akats horiek urruneko edo ondoko erasotzaileei administrazio-sarbideak lortzea, SD‑WAN konfigurazioa manipulatzea, root gisa komandoak exekutatzea edo sarearen erabilgarritasunean eragina duten berrabiarazteak eta trafiko-begiztak eragitea ahalbidetzen diete. Cisco-k kasu batzuetan ustiapen aktiboa baieztatzen du, ez dago workaround eraginkorrik (ingurune zehatzetan mitigazio espezifikoak salbu), eta bertsioen eguneratze urgentea gomendatzen du, baita segurtasuna segmentazioaren, sarbide-murrizketen, log-en berrikuspenen eta agerian dauden zerbitzuen gogortzearen bidez indartzea ere.

Eragindako baliabideak

  • Cisco Catalyst SD-WAN Controller (bertsio zehaztugabeak)
  • Cisco Catalyst SD-WAN Manager (bertsio zehaztugabeak)
  • Cisco Catalyst SD-WAN Release 20.9 (20.9.8.2 2026ko otsailaren 27rako estimatua)
  • Cisco Catalyst SD-WAN Release 20.111 (20.12.6.1)
  • Cisco Catalyst SD-WAN Release 20.12.5 (bertsio zehaztugabeak)
  • Cisco Catalyst SD-WAN Release 20.12.6 (20.12.5.3, 20.12.6.1)
  • Cisco Catalyst SD-WAN Release 20.131 (20.15.4.2)
  • Cisco Catalyst SD-WAN Release 20.141 (20.15.4.2)
  • Cisco Catalyst SD-WAN Release 20.15 (20.15.4.2)
  • Cisco Catalyst SD-WAN Release 20.161 (20.18.2.1)
  • Cisco Catalyst SD-WAN Release 20.18 (20.18.2.1)
  • Cisco Nexus 3600 Platform Switches (bertsio zehaztugabeak)
  • Cisco Nexus 9500-R Series Switching Platforms (bertsio zehaztugabeak)
  • Cisco Nexus 9000 Series Fabric Switches ACI moduan (bertsio zehaztugabeak)
  • Cisco NX-OS Software (bertsio zehaztugabeak)

Azterketa teknikoa

  • CVE-2026-20127: Cisco Catalyst SD-WAN Controller eta Cisco Catalyst SD-WAN Manager-en parekatze autentifikazioan dagoen ahultasun batek urruneko erasotzaile autentifikatu gabeak autentifikazioa saihestu eta sistema kaltetuan administrazio-pribilegioak lortzea ahalbide dezake. Balizko eragina SD-WAN sareko konfiguraziora baimenik gabeko sarbidea izatea da. Ahultasun hau ustiatzeko, erasotzaileak manipulatutako eskaerak bidali behar dizkio kaltetutako sistema bati.
    • CWE-287
    • CVSS: 10.0 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Detektatu da
  • CVE-2026-20129: Cisco Catalyst SD-WAN Manager-en API erabiltzaile autentifikazioan dagoen ahultasun batek urruneko erasotzaile autentifikatu gabeak netadmin pribilegioekin sistema kaltetua atzitzea ahalbide dezake. Balizko eragina pribilegio horiekin komandoak exekutatzea da. Ahultasun hau ustiatzeko, erasotzaileak manipulatutako eskaera bat bidali behar dio kaltetutako sistemaren APIari. Cisco Catalyst SD-WAN Manager-en 20.18 eta ondorengo bertsioak ez daude kaltetuta.
    • CWE-287
    • CVSS: 9.8 (kritikoa)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20126: Cisco Catalyst SD-WAN Manager-en ahultasun batek pribilegio baxuko erasotzaile lokal autentifikatu bati azpiko sistema eragilean root baimenak lortzea ahalbide dezake. Balizko eragina esanguratsua da, erasotzaileak sistemaren kontrol osoa har baitezake. Ahultasun hau ustiatzeko, erasotzaileak kaltetutako sistemaren REST APIari eskaera bat bidali behar dio.
    • CWE-648
    • CVSS: 8.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2022-20775: Cisco SD-WAN-en CLIn dauden hainbat ahultasunek erasotzaile lokal autentifikatu bati pribilegio altuak lortzea ahalbide dezakete. Ustiapen arrakastatsuak erasotzaileari root erabiltzaile-pribilegioekin komando arbitrarioak exekutatzea ahalbidetuko lioke. Ahultasun hauek aprobetxatzeko, erasotzaileak komando maltzur bat exekutatu behar du aplikazioaren komando-lerro interfazean.
    • CWE-22
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Detektatu da
  • CVE-2022-20818: Cisco SD-WAN-en CLIn dauden ahultasunek erasotzaile lokal autentifikatu bati pribilegio altuak lortzea ahalbide dezakete. Horrek root pribilegioekin komando arbitrarioen exekuzioa eragin dezake. Ahultasun hauek ustiatzeko, erasotzaileak komando maltzur bat exekutatu behar du aplikazioaren CLIn.
    • CWE-22
    • CVSS: 7.8 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Detektatu da
  • CVE-2026-20048: ACI moduan dauden Cisco Nexus 9000 Series kommutadoreetan SNMP (Simple Network Management Protocol) protokoloan dagoen ahultasun batek urruneko erasotzaile autentifikatu bati zerbitzuaren ukapena (DoS) eragitea ahalbide dezake. Horrek kernel-aren hutsegitea eta gailuaren berrabiaraztea eragin dezake. Ahultasun hau ustiatzeko, erasotzaileak SNMPv1 edo SNMPv2c-rako irakurtzeko soilik den SNMP komunitate-kate bat, edo SNMPv3-rako SNMP erabiltzaile-kredentzial balioak eduki behar ditu.
    • CWE-789
    • CVSS: 7.7 (altua)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20128: Cisco Catalyst SD-WAN Manager-en Data Collection Agent (DCA) funtzioan dagoen ahultasun batek erasotzaile lokal autentifikatu bati sistema kaltetuan DCA erabiltzaile-pribilegioak lortzea ahalbide dezake. Balizko eragina kaltetutako beste sistemetara baimenik gabeko sarbidea izatea da. Ahultasun hau ustiatzeko, erasotzaileak sistema kaltetuan vmanage kredentzial balioak eduki behar ditu. Cisco Catalyst SD-WAN Manager-en 20.18 eta ondorengo bertsioak ez dira zaurgarriak.
    • CWE-257
    • CVSS: 7.5 (altua)
    • CVSS bektorea: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20033: ACI moduan dauden Cisco Nexus 9000 Series kommutadoreetan dagoen ahultasun batek ondoko erasotzaile autentifikatu gabeak kaltetutako gailuan zerbitzuaren ukapena (DoS) eragitea ahalbide dezake. Balizko eragina gailua ustekabean berrabiaraztea da, zerbitzuetan etendura eraginez. Ahultasun hau ustiatzeko, kaltetutako gailuaren OOB kudeaketa interfazera Ethernet marko zehatz bat bidali behar da.
    • CWE-805
    • CVSS: 7.4 (altua)
    • CVSS bektorea: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20051: Cisco Nexus 3600 eta 9500-R-en 2. geruzako sarrerako pakete prozesatzean dagoen ahultasun batek ondoko erasotzaile autentifikatu gabeak 2. geruzako trafiko-begizta bat eragitea ahalbide dezake. Horrek zerbitzuaren ukapena (DoS) eragin dezake, banda-zabalera gainezka eginez eta datu-trafiko guztia galduz. Ahultasun hau ustiatzeko, erasotzaileak kaltetutako gailuarekiko 2. geruzako ondoan egon behar du.
    • CWE-457
    • CVSS: 7.4 (altua)
    • CVSS bektorea: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20010: Cisco NX-OS Software-ren Link Layer Discovery Protocol (LLDP) funtzioan dagoen ahultasun batek ondoko erasotzaile autentifikatu gabeak LLDP prozesua berrabiaraz dezan ahalbide dezake, gailuaren ustekabean berrabiaraztea eraginez. Horrek zerbitzuaren ukapena (DoS) eragin dezake. Ahultasun hau ustiatzeko, erasotzaileak kaltetutako gailuaren interfaze batera zuzenean konektatuta egon behar du, fisikoki edo logikoki 2. Geruzako tunel baten bidez.
    • CWE-805
    • CVSS: 7.4 (altua)
    • CVSS bektorea: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20133: Cisco Catalyst SD-WAN Manager-en ahultasun batek urruneko erasotzaile autentifikatu gabeak sistema kaltetuko informazio sentikorra atzitzea ahalbide dezake. Hori fitxategi-sistemara sarbidean murrizketa nahikoak ez egotearen ondorioa da. Erasotzaileak sistemaren APIra sarbidea lortuz ahultasun hau ustiatzea lortuz gero, azpiko sistema eragilearen informazio kritikoa irakur lezake.
    • CWE-200
    • CVSS: 6.5 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
    • Esplotazioa: Ez da detektatu
  • CVE-2026-20122: Cisco Catalyst SD-WAN Manager-en APIan dagoen ahultasun batek urruneko erasotzaile autentifikatu bati tokiko fitxategi-sisteman fitxategi arbitrarioak gainidaztea ahalbide dezake. Balizko eragina vmanage erabiltzaile-pribilegioak lortzea da. Ahultasun hau ustiatzeko, erasotzaileak sistema kaltetuan APIrako sarbidea duen irakurtzeko soilik diren kredentzial balioak behar ditu.
    • CWE-648
    • CVSS: 5.4 (ertaina)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
    • Esplotazioa: Ez da detektatu

Arintzea/Konponbidea

Cisco-k gomendatzen du eragindako sistemak software zuzenketa bertsio batera eguneratzea. Ez dago irtenbide alternatiborik eskuragarri. Leku batean instalatutako sistemetarako, Cisco Catalyst SD-WAN-en su firewall konfigurazio jarraibideak jarraitzea gomendatzen da, trafikoa 22 eta 830 portuetara mugatuz kontrolatzaile ezagunetako IP helbideetara bakarrik. Gainera, bezeroek web log trafikoa monitorizatu behar dute, HTTP desgaitu administrazio atarian eta administratzaile pasahitzak seguruagoak diren aldaerak aldatzea. Oso garrantzitsua da logak berrikustea baimendu gabeko peering konexioak identifikatzeko eta Cisco Catalyst SD-WAN Hardening Guide-ren segurtasun gomendioak jarraitzea ingurunea indartzeko.

Erreferentzia gehigarriak

Partekatu