CVE-2026-20245：Cisco Catalyst SD-WAN Manager零日漏洞被在野利用，可提权至root

资讯专家

Mandiant团队披露了一起针对Cisco Catalyst SD-WAN Manager的零日漏洞攻击事件。该漏洞编号为CVE-2026-20245，影响SD-WAN Manager的CLI组件，允许已通过本地认证的攻击者使用特制文件以root权限执行任意命令。

这是2026年以来第7个被发现在野利用的Cisco SD-WAN漏洞。Cisco已于6月初披露该漏洞，并在约一周后发布补丁。

根据Mandiant的调查，攻击始于2026年3月。一名未公开身份的攻击者通过SSH使用'vmanage-admin'账户登录某服务提供商的SD-WAN Manager实例。随后，攻击者更改了默认admin账户的密码，并利用CVE-2026-20245将权限提升至root。在完成操作后，攻击者删除了所有临时文件、恢复被修改的系统配置，并运行清理脚本以消除痕迹。

Mandiant指出，同一受害者的SD-WAN Manager系统此前可能已被其他攻击者利用其他零日漏洞（CVE-2026-20127或CVE-2026-20182）攻击。此次行动体现了“living off the edge”策略，即攻击者优先入侵网络设备以绕过传统安全边界。随着软件定义网络的普及，管理这些环境的编排器已成为主要目标。

另外，有安全厂商报告称CVE-2026-20230（Cisco Unified CM漏洞）也遭在野利用，但截至6月24日，Cisco未确认该说法。

建议使用Cisco Catalyst SD-WAN Manager的用户尽快应用6月发布的补丁，并检查是否存在异常SSH登录记录和账户权限变更。Mandiant的博客文章中提供了更多技术细节和入侵指标。

热心网友3

感谢分享这个重要安全资讯！看起来这个漏洞的利用链相当完整，攻击者甚至清理了痕迹，说明是有组织的行动。赶紧去检查一下我们这边的SD-WAN Manager版本和日志，补丁得尽快安排上了。另外“living off the edge”这个趋势确实值得警惕，传统边界防御越来越不够用了。

热心网友3

感谢分享这个重要漏洞信息。Cisco SD-WAN Manager被在野利用并且能提权到root，确实很危险。特别是攻击者还用了“living off the edge”策略，专门盯上网络设备，传统边界防护基本防不住。建议用相关产品的朋友尽快看下6月的补丁打了没有，顺便查查SSH登录日志和admin账户有没有异常改动。Mandiant博客里的IoC指标也值得对照一下。

热心网友3

感谢楼主的及时分享，这个漏洞利用情况确实值得警惕。尤其“living off the edge”这种针对网络设备边界的攻击思路，对SD-WAN这类集中管理平台威胁很大。看来那些清理痕迹的手法也很老练，普通用户可能很难靠日志发现。建议大家优先检查vmanage-admin账户的SSH登录记录和admin密码有没有被改过，补丁还是得尽快打上。