🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Na quinta-feira, a Cisco alertou sobre um dia zero sem correção e de alta gravidade no Cisco Catalyst SD-WAN Manager (rastreado como CVE-2026-20245) explorado ativamente em ataques que permitem o escalonamento de privilégios de root.
A falha de dia zero afeta todos os tipos de implantação, incluindo implantação no local, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) e Cisco SD-WAN for Government (FedRAMP).
Em um comunicado de quinta-feira, a Cisco disse que o problema decorre da validação insuficiente da entrada fornecida pelo usuário e pode permitir que invasores locais com poucos privilégios executem comandos arbitrários como root.
“Um invasor pode explorar esta vulnerabilidade enviando um arquivo criado para o sistema afetado. Uma exploração bem-sucedida pode permitir que o invasor execute ataques de injeção de comando em um sistema afetado e eleve seus privilégios como usuário root”, explicou a empresa.
"Para explorar esta vulnerabilidade, o invasor deve ter privilégios de netadmin no sistema afetado. Isso exigiria credenciais válidas ou exploração de CVE-2026-20182 ou CVE-2026-20127. A Cisco não está ciente da exploração bem-sucedida por outros métodos", acrescentou. "A Cisco não está ciente da exploração bem-sucedida por outros métodos. A Cisco observou casos limitados em que a exploração desse bug resultou em uma alteração de configuração enviada para dispositivos de ponta."
Anteriormente conhecido como SD-WAN vManage, este software de gerenciamento de rede ajuda os administradores a monitorar e gerenciar até 6.000 dispositivos Catalyst SD-WAN em um único painel.
A equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) tomou conhecimento da exploração do CVE-2026-20245 em junho, depois que a Mandiant, subsidiária de segurança cibernética do Google Cloud, relatou a falha, mas não compartilhou nenhum detalhe.
No entanto, ele compartilhou indicadores de comprometimento (IOCs) alertando os administradores para verificarem seu arquivo SD-WAN /var/log/scripts.log em busca de tentativas de fazer upload de dados de configuração de locatário para controladores vSmart para escalar privilégios por meio de comandos legÃtimos, como no exemplo a seguir:
15 de abril 09:44:57 vmanage vScript: upload da lista de locatários por número de série vsmart: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
“Para obter ajuda para determinar se um Cisco Catalyst SD-WAN Manager foi comprometido, os clientes podem abrir um caso com o Cisco TAC”, acrescentou a empresa, aconselhando os administradores primeiro a coletar arquivos de tecnologia administrativa para ajudar na revisão.
Patches de segurança ainda não disponÃveis
No mês passado, a Cisco também marcou uma falha de desvio de autenticação do Catalyst SD-WAN Controller de gravidade máxima (CVE-2026-20182) como explorada ativamente como um dia zero para obter privilégios administrativos em dispositivos não corrigidos.
Embora a Cisco ainda não tenha lançado patches para CVE-2026-20245, ela aconselhou os clientes a atualizarem para o software corrigido para CVE-2026-20182 em 14 de maio.
Em fevereiro, a Cisco corrigiu outra falha de segurança de divulgação de informações do Catalyst SD-WAN Manager (CVE-2026-20133), que a CISA sinalizou como explorada ativamente no final de abril, e, duas semanas depois, alertou que mais duas falhas (CVE-2026-20128 e CVE-2026-20122) estavam sendo abusadas na natureza.
Em março, também abordou e sinalizou uma vulnerabilidade crÃtica de desvio de autenticação (CVE-2026-20127) que tem sido explorada em ataques de dia zero desde pelo menos 2023.
Nos últimos anos, a CISA marcou 90 vulnerabilidades da Cisco como abusadas em estado selvagem, quatro delas no Cisco Catalyst SD-WAN Manager e outras seis exploradas por operações de ransomware.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
A falha de dia zero afeta todos os tipos de implantação, incluindo implantação no local, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) e Cisco SD-WAN for Government (FedRAMP).
Em um comunicado de quinta-feira, a Cisco disse que o problema decorre da validação insuficiente da entrada fornecida pelo usuário e pode permitir que invasores locais com poucos privilégios executem comandos arbitrários como root.
“Um invasor pode explorar esta vulnerabilidade enviando um arquivo criado para o sistema afetado. Uma exploração bem-sucedida pode permitir que o invasor execute ataques de injeção de comando em um sistema afetado e eleve seus privilégios como usuário root”, explicou a empresa.
"Para explorar esta vulnerabilidade, o invasor deve ter privilégios de netadmin no sistema afetado. Isso exigiria credenciais válidas ou exploração de CVE-2026-20182 ou CVE-2026-20127. A Cisco não está ciente da exploração bem-sucedida por outros métodos", acrescentou. "A Cisco não está ciente da exploração bem-sucedida por outros métodos. A Cisco observou casos limitados em que a exploração desse bug resultou em uma alteração de configuração enviada para dispositivos de ponta."
Anteriormente conhecido como SD-WAN vManage, este software de gerenciamento de rede ajuda os administradores a monitorar e gerenciar até 6.000 dispositivos Catalyst SD-WAN em um único painel.
A equipe de resposta a incidentes de segurança de produtos da Cisco (PSIRT) tomou conhecimento da exploração do CVE-2026-20245 em junho, depois que a Mandiant, subsidiária de segurança cibernética do Google Cloud, relatou a falha, mas não compartilhou nenhum detalhe.
No entanto, ele compartilhou indicadores de comprometimento (IOCs) alertando os administradores para verificarem seu arquivo SD-WAN /var/log/scripts.log em busca de tentativas de fazer upload de dados de configuração de locatário para controladores vSmart para escalar privilégios por meio de comandos legÃtimos, como no exemplo a seguir:
15 de abril 09:44:57 vmanage vScript: upload da lista de locatários por número de série vsmart: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
“Para obter ajuda para determinar se um Cisco Catalyst SD-WAN Manager foi comprometido, os clientes podem abrir um caso com o Cisco TAC”, acrescentou a empresa, aconselhando os administradores primeiro a coletar arquivos de tecnologia administrativa para ajudar na revisão.
Patches de segurança ainda não disponÃveis
No mês passado, a Cisco também marcou uma falha de desvio de autenticação do Catalyst SD-WAN Controller de gravidade máxima (CVE-2026-20182) como explorada ativamente como um dia zero para obter privilégios administrativos em dispositivos não corrigidos.
Embora a Cisco ainda não tenha lançado patches para CVE-2026-20245, ela aconselhou os clientes a atualizarem para o software corrigido para CVE-2026-20182 em 14 de maio.
Em fevereiro, a Cisco corrigiu outra falha de segurança de divulgação de informações do Catalyst SD-WAN Manager (CVE-2026-20133), que a CISA sinalizou como explorada ativamente no final de abril, e, duas semanas depois, alertou que mais duas falhas (CVE-2026-20128 e CVE-2026-20122) estavam sendo abusadas na natureza.
Em março, também abordou e sinalizou uma vulnerabilidade crÃtica de desvio de autenticação (CVE-2026-20127) que tem sido explorada em ataques de dia zero desde pelo menos 2023.
Nos últimos anos, a CISA marcou 90 vulnerabilidades da Cisco como abusadas em estado selvagem, quatro delas no Cisco Catalyst SD-WAN Manager e outras seis exploradas por operações de ransomware.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #cisco #alerta #sobre #sdwan #sem #patch #explorado #em #ataques #de #dia #zero
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário