📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Cisco lançou atualizações de segurança para uma falha de segurança de gravidade média no Catalyst SD-WAN Manager que está sob exploração ativa em estado selvagem.
A vulnerabilidade, rastreada como CVE-2026-20262, carrega uma pontuação CVSS de 6,5 em 10,0.
“Uma vulnerabilidade na interface da web do Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, pode permitir que um invasor remoto autenticado crie um arquivo ou substitua qualquer arquivo no sistema de arquivos de um sistema afetado”, disse a Cisco em um comunicado.
O problema, acrescentou a empresa de equipamentos de rede, decorre da validação inadequada das informações fornecidas pelo usuário durante o processo de upload de arquivos. Um invasor pode explorar esse comportamento para criar ou substituir qualquer arquivo no sistema operacional subjacente, enviando solicitações HTTP criadas para um endpoint de API afetado.
Isso, por sua vez, poderia ser transformado em arma para ser elevado à raiz. No entanto, a exploração bem-sucedida depende de o invasor já possuir credenciais válidas com pelo menos acesso de gravação.
A vulnerabilidade afeta os seguintes produtos, independentemente do tipo de implantação:
Cisco Catalyst SD-WAN Manager no local
Cisco SD-WAN Cloud-Pro
Nuvem Cisco SD-WAN (gerenciada pela Cisco)
Cisco SD-WAN para governo (FedRAMP)
Patches foram lançados para resolver o problema -
Cisco Catalyst SD-WAN versão 20.9.9.1 e anterior – corrigido em 20.9.9.2
Cisco Catalyst SD-WAN versão 20.12.7.1 e anterior – corrigido em 20.12.7.2
Cisco Catalyst SD-WAN versão 20.15.4.4 e anterior – corrigido em 20.15.4.5
Cisco Catalyst SD-WAN versão 20.15.5.2 e anterior – corrigido em 20.15.5.3
Cisco Catalyst SD-WAN versão 20.18.3 – corrigido em 20.18.3.1
Cisco Catalyst SD-WAN versão 26.1.1.1 e anterior – corrigido em 26.1.1.2
A Cisco disse que “tomou conhecimento da exploração limitada desta vulnerabilidade” em junho de 2026, acrescentando que ela foi descoberta durante testes de segurança internos.
A empresa também compartilhou indicadores de comprometimento associados à atividade maliciosa, pedindo aos clientes que auditem "/var/log/nms/vmanage-server.log" em busca de uploads de arquivos WAR suspeitos, conforme abaixo -
11 de junho de 2026 03:53:37.310 EDT INFO [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [servidor] [SdraAnyConnectFileUploadHandler] (tarefa padrão-40704) |padrão| carregou o arquivo de perfil do Remote Access Anyconnect: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war para vManage.
Outros indicadores incluem tentativas de implantar código malicioso e interagir com ele, embora a Cisco tenha alertado que eles podem não “aparecer de forma consistente” em todos os registros de incidentes. As atividades subsequentes relacionadas a esta vulnerabilidade são -
/var/log/nms/vmanage-appserver.log: 11-June-2026 07:52:55,275 UTC INFO [servidor] (DeploymentScanner-threads - 2) WFLYSRV0010: Implantado "suspicious.war" (nome do tempo de execução: "suspicious.war")
/var/log/nms/containers/service-proxy/serviceproxy-access.log: [2026-06-11T07:57:33.635Z] "POST /suspicious/index.jsp HTTP/1.1" 200 - 267 76 17 - "1.1.1.54" "Mozilla/5.0 (Windows NT 10.0; Win64; x64;
CVE-2026-20262 é a oitava falha de segurança que afeta o Cisco SD-WAN a ser sinalizada como explorada ativamente somente neste ano, depois de CVE-2026-20245, CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 e CVE-2022-20775. A exploração de algumas dessas falhas foi atribuída a um ator de ameaça persistente avançada (APT) chamado UAT-8616.
O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a adicionar a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções até 29 de junho de 2026.
A vulnerabilidade, rastreada como CVE-2026-20262, carrega uma pontuação CVSS de 6,5 em 10,0.
“Uma vulnerabilidade na interface da web do Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, pode permitir que um invasor remoto autenticado crie um arquivo ou substitua qualquer arquivo no sistema de arquivos de um sistema afetado”, disse a Cisco em um comunicado.
O problema, acrescentou a empresa de equipamentos de rede, decorre da validação inadequada das informações fornecidas pelo usuário durante o processo de upload de arquivos. Um invasor pode explorar esse comportamento para criar ou substituir qualquer arquivo no sistema operacional subjacente, enviando solicitações HTTP criadas para um endpoint de API afetado.
Isso, por sua vez, poderia ser transformado em arma para ser elevado à raiz. No entanto, a exploração bem-sucedida depende de o invasor já possuir credenciais válidas com pelo menos acesso de gravação.
A vulnerabilidade afeta os seguintes produtos, independentemente do tipo de implantação:
Cisco Catalyst SD-WAN Manager no local
Cisco SD-WAN Cloud-Pro
Nuvem Cisco SD-WAN (gerenciada pela Cisco)
Cisco SD-WAN para governo (FedRAMP)
Patches foram lançados para resolver o problema -
Cisco Catalyst SD-WAN versão 20.9.9.1 e anterior – corrigido em 20.9.9.2
Cisco Catalyst SD-WAN versão 20.12.7.1 e anterior – corrigido em 20.12.7.2
Cisco Catalyst SD-WAN versão 20.15.4.4 e anterior – corrigido em 20.15.4.5
Cisco Catalyst SD-WAN versão 20.15.5.2 e anterior – corrigido em 20.15.5.3
Cisco Catalyst SD-WAN versão 20.18.3 – corrigido em 20.18.3.1
Cisco Catalyst SD-WAN versão 26.1.1.1 e anterior – corrigido em 26.1.1.2
A Cisco disse que “tomou conhecimento da exploração limitada desta vulnerabilidade” em junho de 2026, acrescentando que ela foi descoberta durante testes de segurança internos.
A empresa também compartilhou indicadores de comprometimento associados à atividade maliciosa, pedindo aos clientes que auditem "/var/log/nms/vmanage-server.log" em busca de uploads de arquivos WAR suspeitos, conforme abaixo -
11 de junho de 2026 03:53:37.310 EDT INFO [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [servidor] [SdraAnyConnectFileUploadHandler] (tarefa padrão-40704) |padrão| carregou o arquivo de perfil do Remote Access Anyconnect: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war para vManage.
Outros indicadores incluem tentativas de implantar código malicioso e interagir com ele, embora a Cisco tenha alertado que eles podem não “aparecer de forma consistente” em todos os registros de incidentes. As atividades subsequentes relacionadas a esta vulnerabilidade são -
/var/log/nms/vmanage-appserver.log: 11-June-2026 07:52:55,275 UTC INFO [servidor] (DeploymentScanner-threads - 2) WFLYSRV0010: Implantado "suspicious.war" (nome do tempo de execução: "suspicious.war")
/var/log/nms/containers/service-proxy/serviceproxy-access.log: [2026-06-11T07:57:33.635Z] "POST /suspicious/index.jsp HTTP/1.1" 200 - 267 76 17 - "1.1.1.54" "Mozilla/5.0 (Windows NT 10.0; Win64; x64;
CVE-2026-20262 é a oitava falha de segurança que afeta o Cisco SD-WAN a ser sinalizada como explorada ativamente somente neste ano, depois de CVE-2026-20245, CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 e CVE-2022-20775. A exploração de algumas dessas falhas foi atribuída a um ator de ameaça persistente avançada (APT) chamado UAT-8616.
O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a adicionar a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências do Poder Executivo Civil Federal (FCEB) apliquem as correções até 29 de junho de 2026.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisco #lança #atualizações #de #segurança #para #falha #explorada #ativamente #do #sdwan #manager
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário