Η επίθεση ξεπέρασε τα όρια της υπομονής: Σε πρόσφατη ανακοίνωσή της, η Cisco επιβεβαίωσε την ύπαρξη ενός σοβαρού zero-day προβλήματος στο Cisco Catalyst SD-WAN Manager, που παρακολουθείται ως CVE-2026-20245. Το ελάττωμα, που δεν έχει ακόμη επιδιορθωθεί, είναι ενεργά εκμεταλλεύσιμο από κακόβουλους εισβολείς και μπορεί να οδηγήσει σε κλιμάκωση δικαιωμάτων root, επιτρέποντας την εκτέλεση αυθαίρετων εντολών.
Αυτή η ευπάθεια επηρεάζει όλες τις διαθέσιμες εκδόσεις του λογισμικού, συμπεριλαμβανομένων των On-Prem Deployment, Cisco SD-WAN Cloud-Pro και Cisco SD-WAN for Government (FedRAMP), καθιστώντας το έναν κρίσιμο στόχο για επιθέσεις στον κυβερνοχώρο.
Σύμφωνα με τη Cisco, το πρόβλημα προκύπτει από την ανεπαρκή επικύρωση των εισόδων που παρέχονται από τον χρήστη. «Αυτό σημαίνει ότι ένας τοπικός εισβολέας με χαμηλά προνόμια θα μπορούσε να ανεβάσει ένα κακόβουλο αρχείο και να εκκινήσει εντολές ως root», δήλωσε εκπρόσωπος της εταιρείας.
«Για να γίνει αυτό, ο εισβολέας πρέπει να έχει δικαιώματα netadmin. Αυτό συνεπάγεται είτε έγκυρα διαπιστευτήρια είτε εκμετάλλευση άλλων γνωστών αδυναμιών» πρόσθεσε η Cisco, αναφέροντας ότι μέχρι στιγμής, δεν έχει υπάρξει έγκυρη αναφορά για εκμετάλλευση με άλλες μεθόδους.
Το λογισμικό, παλαιότερα γνωστό ως SD-WAN vManage, διευκολύνει τους διαχειριστές στη διαχείριση μέχρι 6.000 διατάξεων Catalyst SD-WAN από έναν ενιαίο πίνακα εργαλείων. Ωστόσο, η επιτυχής εκμετάλλευση αυτού του ελαττώματος θα μπορούσε να έχει σοβαρές επιπτώσεις για τους οργανισμούς που το χρησιμοποιούν.
Η Ομάδα Αντιμετώπισης Συμβάντων Ασφάλειας Προϊόντων (PSIRT) της Cisco ενημερώθηκε για την εκμετάλλευση του CVE-2026-20245 τον Ιούνιο, αφού η Mandiant, θυγατρική της Google Cloud στον τομέα της κυβερνοασφάλειας, εντόπισε το πρόβλημα. Η εταιρεία δημοσιοποίησε δείκτες συμβιβασμού (IOC) που προειδοποιούν τους διαχειριστές να ελέγξουν το αρχείο SD-WAN /var/log/scripts.log για ύποπτες δραστηριότητες.
Οι ενημερώσεις ασφαλείας παραμένουν εκκρεμείς
Το τελευταίο διάστημα, η Cisco έχει εντοπίσει και άλλες ευπάθειες, όπως το CVE-2026-20182, που έχει εκμεταλλευτεί επιτυχώς για την απόκτηση δικαιωμάτων διαχειριστή σε μη επιδιορθωμένες συσκευές. Παρά την σοβαρότητα της κατάστασης, οι ενημερώσεις κώδικα για το CVE-2026-20245 δεν έχουν ακόμη διατεθεί.
Η Cisco προτρέπει τους πελάτες να ενημερώσουν το λογισμικό τους για το CVE-2026-20182, το οποίο διορθώθηκε στις 14 Μαΐου. Ωστόσο, οι οργανισμοί θα πρέπει να παραμείνουν σε επιφυλακή, καθώς η CISA έχει καταγράψει συνολικά 90 τρωτά σημεία της Cisco που έχουν εκμεταλλευτεί, μερικά εκ των οποίων σχετίζονται με το Catalyst SD-WAN Manager.
Η κατάσταση αυτή τονίζει τη σημαντικότητα της έγκαιρης εφαρμογής ενημερώσεων ασφαλείας, ιδίως σε περιβάλλοντα όπου η κυβερνοασφάλεια είναι κρίσιμη. Η συνειδητοποίηση και η προετοιμασία είναι οι ακρογωνιαίοι λίθοι για την ασφάλεια σε έναν κόσμο που διαρκώς αναζητά νέες ευπάθειες.
Μέχρι να εκδοθούν οι απαιτούμενες διορθώσεις, οι οργανισμοί καλούνται να επανεξετάσουν τις διαδικασίες ασφαλείας τους και να αντλήσουν πληροφορίες για πιθανές επιθέσεις από τα logs του συστήματος.
Καλές πρακτικές για τους διαχειριστές διαχείρισης δικτύου
- Δημιουργία τεχνικού αρχείου για ανασκόπηση.
- Ενεργοποίηση ειδοποιήσεων για περίεργες δραστηριότητες στο σύστημα.
- Τακτικός έλεγχος και αναβάθμιση λογισμικού.
- Εκπαίδευση του προσωπικού στις νέες απειλές κυβερνοασφάλειας.
Οι οργανισμοί πρέπει να παραμείνουν σε ετοιμότητα και να εφαρμόσουν τις καλύτερες πρακτικές ώστε να προστατεύσουν τα συστήματά τους από πιθανές επιθέσεις. Η πληροφορία και η προετοιμασία είναι οι πιο αποτελεσματικές άμυνες εναντίον αυτών των σύγχρονων προκλήσεων της ασφάλειας στον κυβερνοχώρο.
Οι ομάδες ασφαλείας καταγράφουν το 54% των επιτυχημένων επιθέσεων και ειδοποιούν μόλις το 14%. Τα υπόλοιπα παραμένουν αόρατα. Η λευκή βίβλος Picus δείχνει πώς η προσομοίωση παραβίασης δοκιμάζει τους κανόνες SIEM και EDR σας, επιτρέποντας να σταματήσουν οι απειλές.
