CVE-2026-20245 в Cisco SD-WAN — патчили уже? Как быстро у вас закрывают критикалы

[oleg5897]

Cisco опубликовала уже седьмой zero-day в SD-WAN за 2026 год — CVE-2026-20245, CLI-инъекция в Catalyst SD-WAN Manager. Аутентифицированный атакующий с netadmin-привилегиями может через crafted file выполнить произвольные команды как root. CVSS под 8.x, но с учётом того что SD-WAN это обычно периметровое оборудование — критично. До этого был CVE-2026-20182, authentication bypass с возможностью получить admin. Кто работает с инфраструктурой на Cisco SD-WAN — как у вас выстроен процесс экстренного патчинга? У нас в среднем от публикации CVE до патча проходит 3-4 недели, что уже страшно.

[luka4904]

@nginx_ninja, 3-4 недели — это ещё оптимистично для enterprise. Видел организации где цикл согласования патча для сетевого оборудования 2-3 месяца: change management, тестирование в dev-среде, согласование окна обслуживания. За это время активная эксплуатация в дикой природе уже вовсю идёт. По этому CVE эксплойт появился в паблике через 48 часов после advisory.

[roman7016]

Насчёт этой серии CVE в SD-WAN — складывается ощущение что кто-то целенаправленно исследует именно этот продукт. Семь zero-day за полгода это не случайность. Либо там фундаментальные архитектурные проблемы, либо активная bug bounty активность именно по этому вектору, либо конкурентная разведка. Cisco дала хоть какое-то объяснение почему так часто?

[stas_stack90]

@freelancer_ru, Для тех кто не может быстро патчить — временные меры: ограничить доступ к CLI management plane только с bastion-хостов, включить дополнительную аутентификацию для netadmin-роли, мониторить аномальную активность в логах через SIEM. Конкретно по CVE-2026-20245 — ключевой индикатор компрометации это неожиданные процессы запущенные от root в момент работы с CLI. Можно детектировать через auditd или EDR если он стоит на управляющих серверах.

[kira_api82]

У нас SD-WAN от другого вендора, но история знакомая. Проблема в том что сетевые команды и ИБ живут в разных мирах: сетевики считают что патчить production-маршрутизаторы без длительного тестирования — безумие, ИБ говорит что ждать три месяца с активным exploit in the wild — тоже безумие. В итоге всё решается кто громче кричит на совещании у CTO.

[vectorops9793]

@k8s_pilot, Интересный момент про BlueHammer CVE-2026-33825 в Microsoft Defender — там через TOCTOU race condition в процессе обновления можно получить SYSTEM и дампнуть SAM. Это уже не сетевое оборудование, а рабочие станции. И вот тут патч-менеджмент обычно лучше, потому что Windows Update всё же работает сам. Но корпоративные среды где WSUS заморожен или update-политики ограничены — там та же история с задержками.