Cisco đã phát hành các bản cập nhật để giải quyết một lỗi bypass authentication (vượt qua xác thực) ở mức độ nghiêm trọng tối đa trong Catalyst SD-WAN Controller, mà hãng cho biết đã bị khai thác trong các cuộc tấn công hạn chế.
Lỗ hổng này được theo dõi với mã định danh CVE-2026-20182, có điểm số CVSS là 10.0.
"Một lỗ hổng trong cơ chế peering authentication trên Cisco Catalyst SD-WAN Controller (trước đây là SD-WAN vSmart) và Cisco Catalyst SD-WAN Manager (trước đây là SD-WAN vManage), có thể cho phép kẻ tấn công từ xa, chưa xác thực, vượt qua quá trình xác thực và giành được quyền quản trị trên hệ thống bị ảnh hưởng," Cisco cho biết.
Gã khổng lồ thiết bị mạng cho biết lỗi này bắt nguồn từ sự cố của cơ chế peering authentication, kẻ tấn công có thể khai thác bằng cách gửi các yêu cầu được tạo đặc biệt đến hệ thống bị ảnh hưởng.
Tác động của lỗ hổng CVE-2026-20182
Khai thác thành công có thể cho phép kẻ tấn công đăng nhập vào Cisco Catalyst SD-WAN Controller với tư cách là tài khoản người dùng nội bộ, có đặc quyền cao, không phải root (non-root), và sau đó sử dụng nó để truy cập NETCONF và thao túng cấu hình mạng cho SD-WAN fabric.
Lỗ hổng này ảnh hưởng đến các hình thức triển khai sau:
- On-Prem Deployment (Triển khai tại chỗ)
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud (Cisco Managed)
- Cisco SD-WAN for Government (FedRAMP)
Mối liên hệ với các lỗ hổng cũ và tác nhân đe dọa
Theo Rapid7, đơn vị đã phát hiện ra CVE-2026-20182, thiếu sót này có những điểm tương đồng với CVE-2026-20127 (điểm CVSS: 10.0), một lỗ hổng bypass authentication nghiêm trọng khác ảnh hưởng đến cùng một thành phần. Lỗ hổng trước đó được cho là đã bị khai thác bởi một nhóm đe dọa có tên UAT-8616 kể từ ít nhất là năm 2023.
"Lỗ hổng bypass authentication mới này ảnh hưởng đến dịch vụ 'vdaemon' qua DTLS (cổng UDP 12346), cũng chính là dịch vụ từng gặp lỗ hổng CVE-2026-20127," các nhà nghiên cứu của Rapid7 là Jonah Burgess và Stephen Fewer nhận định. "Lỗ hổng mới không phải là một bản vá bị vượt qua của CVE-2026-20127. Nó là một vấn đề khác nằm trong một phần tương tự của ngăn xếp mạng 'vdaemon'."
Mặc dù vậy, kết quả cuối cùng là như nhau: một kẻ tấn công từ xa chưa xác thực có thể lạm dụng CVE-2026-20182 để trở thành một peer (thiết bị ngang hàng) đã được xác thực của thiết bị mục tiêu và thực hiện các hoạt động đặc quyền.
Khuyến nghị và Dấu hiệu nhận biết (IoC)
Trong thông báo của mình, Cisco lưu ý rằng họ đã biết về "việc khai thác hạn chế" đối với lỗi này vào tháng 5 năm 2026, đồng thời thúc giục khách hàng áp dụng các bản cập nhật mới nhất càng sớm càng tốt.
Công ty cũng cho biết các hệ thống Catalyst SD-WAN Controller có thể truy cập được qua internet và có các cổng bị lộ (exposed ports) sẽ có nguy cơ bị xâm nhập cao hơn. Cisco khuyến nghị khách hàng kiểm tra tệp "/var/log/auth.log" để tìm các mục liên quan đến Accepted publickey for vmanage-admin from unknown or unauthorized IP addresses.
Một chỉ báo khác là sự xuất hiện của các sự kiện peering đáng ngờ trong nhật ký, bao gồm các kết nối peer không được ủy quyền xảy ra vào những thời điểm bất thường và bắt nguồn từ các địa chỉ IP không xác định, hoặc liên quan đến các loại thiết bị không phù hợp với kiến trúc của môi trường.
