CVE-2026-20245:Cisco Catalyst SD-WAN Manager零日漏洞被在野利用,可提权至root
Mandiant团队披露了一起针对Cisco Catalyst SD-WAN Manager的零日漏洞攻击事件。该漏洞编号为CVE-2026-20245,影响SD-WAN Manager的CLI组件,允许已通过本地认证的攻击者使用特制文件以root权限执行任意命令。这是2026年以来第7个被发现在野利用的Cisco SD-WAN漏洞。Cisco已于6月初披露该漏洞,并在约一周后发布补丁。
根据Mandiant的调查,攻击始于2026年3月。一名未公开身份的攻击者通过SSH使用'vmanage-admin'账户登录某服务提供商的SD-WAN Manager实例。随后,攻击者更改了默认admin账户的密码,并利用CVE-2026-20245将权限提升至root。在完成操作后,攻击者删除了所有临时文件、恢复被修改的系统配置,并运行清理脚本以消除痕迹。
Mandiant指出,同一受害者的SD-WAN Manager系统此前可能已被其他攻击者利用其他零日漏洞(CVE-2026-20127或CVE-2026-20182)攻击。此次行动体现了“living off the edge”策略,即攻击者优先入侵网络设备以绕过传统安全边界。随着软件定义网络的普及,管理这些环境的编排器已成为主要目标。
另外,有安全厂商报告称CVE-2026-20230(Cisco Unified CM漏洞)也遭在野利用,但截至6月24日,Cisco未确认该说法。
建议使用Cisco Catalyst SD-WAN Manager的用户尽快应用6月发布的补丁,并检查是否存在异常SSH登录记录和账户权限变更。Mandiant的博客文章中提供了更多技术细节和入侵指标。
Re: CVE-2026-20245:Cisco Catalyst SD-WAN Manager零日漏洞被在野利用,可提权至root
感谢分享这个重要安全资讯!看起来这个漏洞的利用链相当完整,攻击者甚至清理了痕迹,说明是有组织的行动。赶紧去检查一下我们这边的SD-WAN Manager版本和日志,补丁得尽快安排上了。另外“living off the edge”这个趋势确实值得警惕,传统边界防御越来越不够用了。Re: CVE-2026-20245:Cisco Catalyst SD-WAN Manager零日漏洞被在野利用,可提权至root
感谢分享这个重要漏洞信息。Cisco SD-WAN Manager被在野利用并且能提权到root,确实很危险。特别是攻击者还用了“living off the edge”策略,专门盯上网络设备,传统边界防护基本防不住。建议用相关产品的朋友尽快看下6月的补丁打了没有,顺便查查SSH登录日志和admin账户有没有异常改动。Mandiant博客里的IoC指标也值得对照一下。Re: CVE-2026-20245:Cisco Catalyst SD-WAN Manager零日漏洞被在野利用,可提权至root
感谢楼主的及时分享,这个漏洞利用情况确实值得警惕。尤其“living off the edge”这种针对网络设备边界的攻击思路,对SD-WAN这类集中管理平台威胁很大。看来那些清理痕迹的手法也很老练,普通用户可能很难靠日志发现。建议大家优先检查vmanage-admin账户的SSH登录记录和admin密码有没有被改过,补丁还是得尽快打上。
页:
[1]