Lỗ hổng Cisco Catalyst SD-WAN Manager CVE-2026-20245 bị khai thác tích cực – Hiện chưa có bản vá

Cisco đã cảnh báo về một lỗi bảo mật nghiêm trọng ảnh hưởng đến Catalyst SD-WAN Manager đang bị khai thác tích cực. Lỗ hổng này, được theo dõi dưới mã CVE-2026-20245, có điểm CVSS là 7.8 và ảnh hưởng đến nhiều loại hình triển khai như On-Prem và Cloud. Hiện tại chưa có bản vá chính thức cho lỗi này.
Cisco SD-WAN Security Flaw

Cisco đã đưa ra cảnh báo về một lỗi bảo mật nghiêm trọng ảnh hưởng đến Catalyst SD-WAN Manager đang bị khai thác tích cực trong thực tế.

Lỗ hổng này được theo dõi dưới mã CVE-2026-20245, có điểm CVSS là 7.8 trên thang điểm tối đa 10.0. Lỗi này ảnh hưởng đến các loại hình triển khai sau:

  • Triển khai On-Prem (tại chỗ)
  • Cisco SD-WAN Cloud-Pro
  • Cisco SD-WAN Cloud (do Cisco quản lý)
  • Cisco SD-WAN cho Chính phủ (FedRAMP)
"Một lỗ hổng trong CLI của Cisco Catalyst SD-WAN Manager (trước đây là SD-WAN vManage) có thể cho phép kẻ tấn công cục bộ đã được xác thực thực thi các lệnh tùy ý với quyền root bằng cách gửi một tệp được tạo đặc biệt đến hệ thống bị ảnh hưởng," Cisco cho biết trong một bản tin tư vấn.

Công ty an ninh mạng này giải thích rằng lỗ hổng là kết quả của việc kiểm tra không đầy đủ đầu vào do người dùng cung cấp. Kẻ tấn công có thể khai thác lỗi này bằng cách tải một tệp độc hại lên hệ thống, từ đó thực hiện các cuộc tấn công Command Injection và nâng cao đặc quyền lên người dùng root.

Cisco bổ sung: "Để khai thác lỗ hổng này, kẻ tấn công phải có đặc quyền netadmin trên hệ thống bị ảnh hưởng. Điều này đòi hỏi thông tin đăng nhập hợp lệ hoặc khai thác các lỗ hổng CVE-2026-20182 hoặc CVE-2026-20127. Cisco hiện chưa ghi nhận phương thức khai thác thành công nào khác."

CVE-2026-20182 (điểm CVSS: 10.0) đã được Rapid7 công bố vào tháng trước, mô tả đây là một lỗi Authentication Bypass cho phép kẻ tấn công từ xa không cần xác thực chiếm quyền quản trị. Lỗ hổng này cũng được đánh giá là tương tự như CVE-2026-20127, một trường hợp Authentication Bypass khác ảnh hưởng đến cùng một thành phần.

Cả hai lỗ hổng trên đều đã bị khai thác trong thực tế dưới dạng Zero-Day, với một nhóm hoạt động đe dọa có tên mã UAT-8616 được cho là đã lạm dụng CVE-2026-20127 từ năm 2023.

Tình hình khai thác và khuyến nghị

Trong bản tin phát hành hôm thứ Năm, Cisco cho biết họ đã quan sát thấy một số trường hợp hạn chế trong đó việc khai thác CVE-2026-20245 dẫn đến thay đổi cấu hình được đẩy xuống các thiết bị đầu cuối (edge devices). Công ty đã ghi nhận các nhà nghiên cứu Chester Sng, Pete Boonyakarn và Logeswaran Nadarajan từ Google Mandiant trong việc phát hiện và báo cáo lỗ hổng mới này. Hiện chưa rõ ai đứng sau các nỗ lực khai thác mới nhất.

Hiện tại chưa có bản vá hoặc biện pháp giảm thiểu nào cho CVE-2026-20245. Khách hàng được khuyến nghị nâng cấp phần mềm SD-WAN để đảm bảo đã áp dụng các bản sửa lỗi được phát hành cho CVE-2026-20182 vào ngày 14 tháng 5 năm 2026.

Cisco cũng cảnh báo rằng các hệ thống tiếp xúc trực tiếp với Internet có nguy cơ bị xâm nhập cao hơn. Để tìm kiếm các dấu hiệu xâm nhập (IoC), người dùng nên kiểm tra tệp "/var/log/scripts.log" để tìm các mục như bên dưới:

Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Jun  5 13:06:39 Manager vScript: vSmart upload serial numbers: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
Jun  5 13:08:47 Validator vScript: ZTP upload chassis numbers: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv

CVE-2026-20245 là lỗi thứ bảy ảnh hưởng đến Cisco SD-WAN được gắn cờ là bị khai thác tích cực chỉ riêng trong năm nay, sau các mã CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 và CVE-2022-20775.

Tiết lộ này diễn ra vài ngày sau khi Cisco xử lý một lỗi bảo mật nghiêm trọng khác trong Unified Communications Manager (CVE-2026-20230, điểm CVSS: 8.6), lỗi mà công ty cho biết mã khai thác Proof-of-Concept đã được công khai. Tuy nhiên, hiện chưa có bằng chứng cho thấy lỗ hổng đó đã bị khai thác tích cực.