Attacco zero-day a CISCO Catalyst SD-WAN Manager: come proteggersi ora

La vulnerabilità attivamente sfruttata nel Catalyst SD-WAN Manager di Cisco, identificata come CVE-2026-20245, consente a un attaccante autenticato di eseguire comandi arbitrari come root. La falla è dovuta a una validazione insufficiente degli input utente e richiede privilegi netadmin per essere sfruttata. Cisco non ha ancora rilasciato patch o mitigazioni specifiche.

Cisco ha segnalato che una vulnerabilità di alta gravità nel Catalyst SD-WAN Manager, risulta attualmente sfruttata in attacchi attivi. La falla, nota come CVE-2026-20245, ha un punteggio CVSS pari a 7.8 su 10 e colpisce tipologie di prodotti diversi come On-Prem Deployment, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) e Cisco SD-WAN for Government (FedRAMP).

La vulnerabilità consente a un attaccante autenticato e locale di eseguire comandi arbitrari come root caricando un file manipolato sul sistema interessato. Questo è possibile a causa di una validazione insufficiente degli input forniti dall’utente, che può portare a iniezioni di comandi e all’elevazione dei privilegi.

Lo sfruttamento di questa vulnerabilità, richiede che il malintenzionato debba avere privilegi netadmin sul sistema colpito, ottenendo così credenziali valide o sfruttando altre vulnerabilità come CVE-2026-20182 e CVE-2026-20127.

Ricordiamo che il CVE-2026-20182, con un punteggio CVSS di 10.0, è stata rivelata lo scorso mese da Rapid7 e permette il bypass dell’autenticazione e consente agli attaccanti remoti non autenticati di ottenere privilegi amministrativi su sistemi vulnerabili.

Questa vulnerabilità è simile al CVE-2026-20127, un’altra falla di bypass dell’autenticazione che colpisce lo stesso componente. Entrambe le vulnerabilità sono state sfruttate in attacchi zero-day, da cartelli criminali come UAT-8616 collegato allo sfruttamento di CVE-2026-20127 fin dal 2023.

Cisco ha osservato casi limitati in cui lo sfruttamento di CVE-2026-20245 che ha portato a cambiamenti di configurazione sui dispositivi edge. La scoperta e la segnalazione della nuova vulnerabilità sono state attribuite ai ricercatori di Google Mandiant Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan.

Al momento non ci sono patch o mitigazioni disponibili per il CVE-2026-20245. Cisco raccomanda agli utenti di aggiornare il software SD-WAN per applicare le correzioni rilasciate per CVE-2026-20182 il 14 maggio 2026. Inoltre, i sistemi esposti su internet, come sempre riportiamo, sono quelli pià a rischio di compromissione. Per identificare gli indicatori di compromissione (IoCs), gli utenti devono controllare il file “/var/log/scripts.log” ed identificare voci sospette come quelle indicate.

Il CVE-2026-20245 è la settima vulnerabilità nel Catalyst SD-WAN a essere segnalata come sfruttata attivamente quest’anno, dopo CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 e CVE-2022-20775.

Tutto questo viene segnalato pochi giorni dopo che Cisco ha affrontato un’altra vulnerabilità di alta gravità nel Unified Communications Manager (CVE-2026-20230, CVSS score: 8.6), per la quale è disponibile un codice di exploit proof-of-concept pubblico. Non ci sono evidenze che questa vulnerabilità sia attualmente sfruttata.

Carolina Vivianti

Carolina Vivianti è consulente/Advisor autonomo in sicurezza informatica con esperienza nel settore tech e security. Ha lavorato come Security Advisor per Ford EU/Ford Motor Company e Vodafone e ha studi presso la Sapienza Università di Roma.

Aree di competenza: Cybersecurity, IT Risk Management, Security Advisory, Threat Analysis, Data Protection, Cloud Security, Compliance & Governance