⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Cisco alertou que uma falha de segurança de alta gravidade que afeta o Catalyst SD-WAN Manager está sob exploração ativa.
A vulnerabilidade, rastreada como CVE-2026-20245, carrega uma pontuação CVSS de 7,8 de um máximo de 10,0. Afeta os seguintes tipos de implantação -
Implantação local
Cisco SD-WAN Cloud-Pro
Nuvem Cisco SD-WAN (gerenciada pela Cisco)
Cisco SD-WAN para governo (FedRAMP)
“Uma vulnerabilidade na CLI do Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, poderia permitir que um invasor local autenticado executasse comandos arbitrários como root, fornecendo um arquivo criado para o sistema afetado”, disse a Cisco em um comunicado.
A empresa de segurança de rede disse que a vulnerabilidade é o resultado de validação insuficiente da entrada fornecida pelo usuário, que um invasor poderia explorar enviando um arquivo criado para o sistema afetado. Isso, por sua vez, poderia permitir que o invasor realizasse ataques de injeção de comando e elevasse seus privilégios como usuário root.
“Para explorar esta vulnerabilidade, o invasor deve ter privilégios de netadmin no sistema afetado”, acrescentou Cisco. "Isso exigiria credenciais válidas ou exploração de CVE-2026-20182 ou CVE-2026-20127. A Cisco não tem conhecimento de exploração bem-sucedida por outros métodos."
CVE-2026-20182 (pontuação CVSS: 10,0) foi divulgado no mês passado pela Rapid7, descrevendo-o como um desvio de autenticação que poderia permitir que invasores remotos não autenticados obtivessem privilégios administrativos em sistemas suscetíveis. Também foi avaliado como semelhante ao CVE-2026-20127, outro caso de desvio de autenticação que afeta o mesmo componente.
Ambas as vulnerabilidades foram exploradas como zero-day, com um cluster de atividades de ameaça denominado UAT-8616 ligado ao abuso de CVE-2026-20127 já em 2023.
Em seu comunicado divulgado na quinta-feira, a Cisco disse que observou casos limitados em que a exploração do CVE-2026-20245 resultou em uma mudança de configuração enviada para dispositivos de ponta. Ele atribuiu aos pesquisadores do Google Mandiant Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan a descoberta e o relato da nova vulnerabilidade. Não se sabe quem está por trás dos últimos esforços de exploração.
Atualmente não há patches ou mitigações disponíveis para CVE-2026-20245. Recomenda-se que os clientes atualizem seu software SD-WAN para garantir que aplicaram as correções lançadas para CVE-2026-20182 em 14 de maio de 2026.
A Cisco também alertou que os sistemas expostos à Internet correm maior risco de comprometimento. Para procurar indicadores de comprometimento (IoCs), os usuários são aconselhados a verificar o arquivo "/var/log/scripts.log" para entradas como abaixo -
15 de abril 09:44:57 vmanage vScript: upload da lista de locatários por número de série vsmart: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
5 de junho 13:06:39 Gerente vScript: vSmart carrega números de série: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
5 de junho 13:08:47 Validador vScript: números de chassi de upload ZTP: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv
CVE-2026-20245 é a sétima falha que afeta o Cisco SD-WAN a ser sinalizada como explorada ativamente somente neste ano, depois de CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 e CVE-2022-20775.
A divulgação ocorre dias depois que a Cisco corrigiu outra falha de segurança de alta gravidade no Unified Communications Manager (CVE-2026-20230, pontuação CVSS: 8,6), para a qual disse que um código de exploração de prova de conceito é público. Não há evidências de que a vulnerabilidade tenha sido explorada ativamente.
A vulnerabilidade, rastreada como CVE-2026-20245, carrega uma pontuação CVSS de 7,8 de um máximo de 10,0. Afeta os seguintes tipos de implantação -
Implantação local
Cisco SD-WAN Cloud-Pro
Nuvem Cisco SD-WAN (gerenciada pela Cisco)
Cisco SD-WAN para governo (FedRAMP)
“Uma vulnerabilidade na CLI do Cisco Catalyst SD-WAN Manager, anteriormente SD-WAN vManage, poderia permitir que um invasor local autenticado executasse comandos arbitrários como root, fornecendo um arquivo criado para o sistema afetado”, disse a Cisco em um comunicado.
A empresa de segurança de rede disse que a vulnerabilidade é o resultado de validação insuficiente da entrada fornecida pelo usuário, que um invasor poderia explorar enviando um arquivo criado para o sistema afetado. Isso, por sua vez, poderia permitir que o invasor realizasse ataques de injeção de comando e elevasse seus privilégios como usuário root.
“Para explorar esta vulnerabilidade, o invasor deve ter privilégios de netadmin no sistema afetado”, acrescentou Cisco. "Isso exigiria credenciais válidas ou exploração de CVE-2026-20182 ou CVE-2026-20127. A Cisco não tem conhecimento de exploração bem-sucedida por outros métodos."
CVE-2026-20182 (pontuação CVSS: 10,0) foi divulgado no mês passado pela Rapid7, descrevendo-o como um desvio de autenticação que poderia permitir que invasores remotos não autenticados obtivessem privilégios administrativos em sistemas suscetíveis. Também foi avaliado como semelhante ao CVE-2026-20127, outro caso de desvio de autenticação que afeta o mesmo componente.
Ambas as vulnerabilidades foram exploradas como zero-day, com um cluster de atividades de ameaça denominado UAT-8616 ligado ao abuso de CVE-2026-20127 já em 2023.
Em seu comunicado divulgado na quinta-feira, a Cisco disse que observou casos limitados em que a exploração do CVE-2026-20245 resultou em uma mudança de configuração enviada para dispositivos de ponta. Ele atribuiu aos pesquisadores do Google Mandiant Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan a descoberta e o relato da nova vulnerabilidade. Não se sabe quem está por trás dos últimos esforços de exploração.
Atualmente não há patches ou mitigações disponíveis para CVE-2026-20245. Recomenda-se que os clientes atualizem seu software SD-WAN para garantir que aplicaram as correções lançadas para CVE-2026-20182 em 14 de maio de 2026.
A Cisco também alertou que os sistemas expostos à Internet correm maior risco de comprometimento. Para procurar indicadores de comprometimento (IoCs), os usuários são aconselhados a verificar o arquivo "/var/log/scripts.log" para entradas como abaixo -
15 de abril 09:44:57 vmanage vScript: upload da lista de locatários por número de série vsmart: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
5 de junho 13:06:39 Gerente vScript: vSmart carrega números de série: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
5 de junho 13:08:47 Validador vScript: números de chassi de upload ZTP: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv
CVE-2026-20245 é a sétima falha que afeta o Cisco SD-WAN a ser sinalizada como explorada ativamente somente neste ano, depois de CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 e CVE-2022-20775.
A divulgação ocorre dias depois que a Cisco corrigiu outra falha de segurança de alta gravidade no Unified Communications Manager (CVE-2026-20230, pontuação CVSS: 8,6), para a qual disse que um código de exploração de prova de conceito é público. Não há evidências de que a vulnerabilidade tenha sido explorada ativamente.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #do #cisco #catalyst #sdwan #manager #cve202620245 #explorada #ativamente #– #nenhum #patch #disponível
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário