Cisco SD-WAN zero-day sfruttata senza patch la CVE-2026-20245, root sul Manager

Cisco SD-WAN zero-day: sfruttata senza patch la CVE-2026-20245, root sul Manager

A cura di:Redazione Ore

Cisco SD-WAN zero-day, ancora: con un advisory pubblicato giovedì 4 giugno Cisco ha confermato che la vulnerabilità CVE-2026-20245, che interessa Catalyst SD-WAN Manager, è già sfruttata in attacchi reali mentre la patch non è ancora disponibile. È il settimo caso di zero-day sfruttato contro la piattaforma SD-WAN di Cisco dall’inizio del 2026, secondo il conteggio della stampa di settore: una serie che sta trasformando il sistema di gestione delle reti geografiche aziendali in uno dei bersagli più battuti dell’anno.

Per inquadrare la posta in gioco: Catalyst SD-WAN è la piattaforma con cui migliaia di organizzazioni, dalle banche alla grande distribuzione fino alle pubbliche amministrazioni, gestiscono in modo centralizzato la connettività tra sedi, filiali e cloud. Il Manager è il pannello di controllo dell’intera rete: definisce le policy, distribuisce le configurazioni ai router di sede e custodisce le chiavi della comunicazione tra i componenti. Proprio per questo la sequenza di zero-day del 2026 preoccupa più della singola falla.

A febbraio era emersa CVE-2026-20127, bypass di autenticazione sul meccanismo di peering sfruttato in silenzio addirittura dal 2023; a maggio è arrivata CVE-2026-20182, che colpisce lo stesso meccanismo di peering e la cui exploitation è stata confermata anche da CISA; oggi tocca alla CVE-2026-20245, che apre una via diretta all’esecuzione di comandi come root sul Manager. Tre falle che gli analisti tendono a leggere come una possibile catena d’attacco contro lo stesso prodotto, in larga parte sfruttata prima che i difensori sapessero della sua esistenza, anche se Cisco non ha confermato in modo esplicito che la 20245 venga usata in combinazione con le altre due.

La vulnerabilità: comandi come root dal Manager

Secondo l’advisory ufficiale, la falla (gravità alta, CVSS 7,8, Bug ID CSCwu18563) risiede nell’interfaccia a riga di comando di Catalyst SD-WAN Manager (l’ex vManage) e deriva da una validazione insufficiente dell’input fornito dall’utente. Un attaccante autenticato può caricare sul sistema un file artefatto e ottenere l’esecuzione di comandi arbitrari con privilegi di root, prendendo di fatto il controllo del componente che governa l’intera rete SD-WAN. Sono interessate tutte le modalità di installazione: on-premise, Cloud-Pro, cloud gestito da Cisco e gli ambienti FedRAMP per il settore governativo.

Il requisito di partenza, riferisce Help Net Security, è il possesso di privilegi netadmin: servono credenziali valide oppure, precisa Cisco, lo sfruttamento preventivo di una tra CVE-2026-20182 e CVE-2026-20127. È qui che la notizia si fa più seria, perché entrambe quelle falle sono già state usate in attacchi: la prima, un bypass di autenticazione critico, è stata sfruttata come zero-day a maggio dall’attore identificato come UAT-8616, come ricostruito da SecurityWeek; la seconda era nelle mani dello stesso attore, definito altamente sofisticato, addirittura dal 2023.

Una precisazione tecnica è doverosa, perché chiarisce la reale meccanica della catena. Lo sfruttamento di CVE-2026-20182 o CVE-2026-20127 non porta direttamente a root: garantisce l’accesso a un account interno ad alti privilegi ma non amministrativo di sistema, sufficiente ad aprire NETCONF e a manipolare le configurazioni della fabric. Negli attacchi osservati a maggio l’escalation finale a root è passata da una vecchia falla, CVE-2022-20775, sfruttata tramite una tecnica di downgrade della versione software poi ripristinata. La CVE-2026-20245 introduce quindi una strada nuova e alternativa verso root, non l’anello già documentato nelle campagne precedenti: la sua comparsa completa il quadro perché offre agli attaccanti una via più diretta, una volta ottenuti i privilegi netadmin a monte.

Configurazioni spinte verso gli edge device

L’elemento più allarmante dell’advisory è l’osservazione, da parte di Cisco, di casi limitati in cui lo sfruttamento ha prodotto modifiche di configurazione spinte dal Manager verso gli edge device, i router che instradano il traffico delle sedi aziendali. Come segnala anche BleepingComputer, chi controlla il Manager non possiede solo una console: può riscrivere le regole di instradamento, intercettare o deviare il traffico e aprire varchi permanenti in tutte le sedi collegate. È lo scenario tipico degli attacchi alle infrastrutture di rete perimetrali che osserviamo da mesi, in cui la compromissione di un singolo punto di gestione si traduce nel controllo dell’intero perimetro distribuito.

Niente patch: cosa fare adesso

Cisco, che attribuisce la segnalazione a Mandiant, sta ancora lavorando alla correzione e dichiara che non esistono workaround. Le indicazioni operative diffuse nel frattempo sono quattro.

Primo: aggiornare alle versioni corrette documentate nell’advisory della CVE-2026-20182, in modo da chiudere almeno la porta d’ingresso nota della catena.

Secondo: prima dell’aggiornamento, eseguire il comando request admin-tech su ciascun componente di controllo del deployment, per preservare gli eventuali indicatori di compromissione presenti nei log; l’advisory elenca le voci di log che possono segnalare lo sfruttamento.

Terzo: verificare la configurazione degli edge device, alla luce delle modifiche anomale già osservate. Quarto: se i log confermano una compromissione, il solo aggiornamento software non risolve, e occorre seguire le procedure di bonifica indicate dal Technical Assistance Center di Cisco.

Per i team italiani vale una considerazione di fondo: il Manager SD-WAN non dovrebbe mai essere esposto direttamente su internet, e questo incidente conferma che le interfacce di gestione vanno segregate, monitorate e trattate come asset critici di livello massimo. La serie di zero-day sul perimetro di rete, dalla crisi del patch management di febbraio in avanti, indica una direzione precisa: gli attaccanti hanno spostato il fuoco dai client ai sistemi che amministrano le reti, dove un solo exploit vale l’intera infrastruttura. Una ragione in più per accelerare il passaggio, già discusso su queste pagine, dalla difesa del perimetro alla resilienza complessiva.

Il quadro resta in evoluzione: la patch è attesa nei prossimi giorni, l’estensione reale degli attacchi non è nota e l’attribuzione della sola CVE-2026-20245 non è stata resa pubblica, anche se il coinvolgimento di Mandiant nella segnalazione e i precedenti della serie, riconducibili a UAT-8616, suggeriscono operazioni mirate di fascia alta più che sfruttamento opportunistico di massa. Aggiorneremo alla pubblicazione della correzione.

Fonti

 

Condividi sui Social Network:

Ultimi Articoli