Новая критическая уязвимость Cisco Catalyst SD-WAN: атаки продолжаются

Компания Cisco сообщила о продолжающихся атаках на критическую уязвимость нулевого дня, затрагивающую её решения Cisco Catalyst SD-WAN Controller и Cisco Catalyst SD-WAN Manager. Эксперты по кибербезопасности связывают эти атаки с хакерской группой UAT-8616, которая уже несколько лет использует подобные уязвимости в продуктах компании.

Уязвимость, получившая идентификатор CVE-2026-20182, имеет максимальный рейтинг опасности по шкале CVSS — 10 баллов. По словам Дугласа МакКи, директора по интеллектуальной разведке в области уязвимостей компании Rapid7, эта уязвимость позволяет злоумышленникам представляться доверенными сетевыми маршрутизаторами и получать административный доступ к системам.

«Это как использовать Силу из «Звёздных войн»: атакующий может убедить систему в своей легитимности и получить полный контроль. По сути, это кибербезопасностный аналог ментального трюка джедаев».

Специалисты Rapid7 обнаружили и сообщили о проблеме в Cisco ещё 9 марта. Компания подтвердила факт ограниченной эксплуатации уязвимости в начале текущего месяца. В четверг Cisco выпустила патч и раскрыла детали уязвимости, а Агентство кибербезопасности и инфраструктурной безопасности США (CISA) оперативно внесло её в каталог известных эксплуатируемых уязвимостей.

Эксперты отмечают, что с конца февраля Cisco столкнулась с волной активно эксплуатируемых уязвимостей в своих сетевых решениях. Только за последние три месяца CISA добавила в каталог семь подобных уязвимостей, связанных с продуктами Cisco SD-WAN и межсетевыми экранами.

Исследователи Cisco Talos связывают текущую волну атак с группой UAT-8616, которая ранее эксплуатировала ещё две уязвимости нулевого дня в сетевых решениях компании на протяжении как минимум трёх лет. Представители Cisco отказались комментировать происхождение или мотивы группы, ограничившись рекомендацией клиентам установить патчи и следовать инструкциям по безопасности.

Кроме того, эксперты предупреждают, что группа UAT-8616 и ещё не менее десяти других хакерских группировок активно эксплуатируют три ранее обнаруженные уязвимости в непропатченных системах Cisco Catalyst SD-WAN Infrastructure. Эти уязвимости — CVE-2026-20122, CVE-2026-20128 и CVE-2026-20133 — были раскрыты и исправлены Cisco ещё в феврале.

Специалисты Rapid7 выявили новую критическую уязвимость во время исследования предыдущей уязвимости CVE-2026-20127, которую ещё в конце 2025 года подтвердили как активно эксплуатируемую группировкой UAT-8616. Власти и представители Cisco скрывали информацию об уязвимости не менее двух месяцев, прежде чем выпустить патч и предоставить экстренные рекомендации по смягчению последствий.