Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una nuova vulnerabilità critica scoperta nei controller Cisco Catalyst SD-WAN permette ad attaccanti remoti non autenticati di ottenere accesso privilegiato all’infrastruttura di rete. Rapid7 ha identificato il bug durante l’analisi di un’altra CVE già sfruttata attivamente. Cisco ha rilasciato aggiornamenti correttivi, ma non esistono mitigazioni temporanee efficaci.
Un nuovo bug di sicurezza, al quale è stato dato l’identificatore CVE-2026-20182, colpisce il servizio “vdaemon”, il quale è presente nei controller Cisco Catalyst SD-WAN, precedentemente conosciuti come vSmart. La scoperta è stata effettuata dai ricercatori di sicurezza di Rapid7, durante le indagini su CVE-2026-20127, la vulnerabilità in questione è stata individuata come già sfruttata in attacchi reali.
Il problema è all’interno del servizio DTLS, che viene esposto sulla porta UDP 12346. Da quanto riportato, non si tratta di un bypass della patch, ma di un difetto nuovo individuato nella stessa area dello stack di rete “vdaemon”.
L’impatto è identico in quanto un attaccante remoto e non autenticato può diventare un peer autenticato del dispositivo bersaglio e quindi ottenere privilegi elevati.
Tra le azioni c’è l’iniezione di una chiave pubblica SSH controllata dai malintenzionati, nel file delle chiavi autorizzate dell’utente vmanage-admin. Dopo l’iniezione, l’accesso al servizio NETCONF sulla porta TCP 830 diventa possibile senza credenziali legittime.
| CVE | Severity | Sintesi vulnerabilità |
|---|---|---|
| CVE-2026-20182 | Critical 10.0 | Bypass di autenticazione remota sul servizio vdaemon via DTLS |
| CVE-2026-20127 | Critica | Vulnerabilità precedente sfruttata in-the-wild nello stesso componente |
Il controller Cisco Catalyst SD-WAN, è il centro del control plane dell’intera architettura relativa alla SD-WAN. A differenza di Cisco SD-WAN Manager, non dispone di una web UI, pertanto la superficie esposta in rete è limitata ma estremamente sensibile.
Le porte possono includere:
| Porta | Protocollo | Servizio |
|---|---|---|
| 22 | TCP | SSH |
| 830 | TCP | NETCONF over SSH |
| 12346 | UDP | vdaemon DTLS control plane |
La porta UDP 12346 è spesso utilizzata per le comunicazioni DTLS tra controller e nodi edge. Proprio qua transitano i messaggi OMP, le route advertisement, le tabelle TLOC e lo stato dei peer e quindi, l’intero tessuto di routing della rete SD-WAN.
Compromettere questo servizio, vuol dire compromettere il network overlay. Per anni molte aziende hanno considerato il control plane SD-WAN quasi “interno” per definizione. , ma il bug rilevato dimostra esattamente il contrario.
Rapid7 ha riportato che il protocollo di autenticazione utilizza una handshake multi-fase su DTLS e questo specifico difetto permette all’attaccante di aggirare i controlli di autenticazione previsti dal processo.
Cisco ha quindi rilasciato degli aggiornamenti ufficiali per correggere il bug monitorato con il codice CVE-2026-20182 e nonn esistono workaround in grado di mitigare il problema. Queste sono le versioni indicate come corrette da parte dal vendor:
| Release Cisco SD-WAN | Prima release corretta |
|---|---|
| 20.9 | 20.9.9.1 |
| 20.10 | 20.12.7.1 |
| 20.11 | 20.12.7.1 |
| 20.12 | 20.12.5.4 / 20.12.6.2 / 20.12.7.1 |
| 20.13 | 20.15.5.2 |
| 20.14 | 20.15.5.2 |
| 20.15 | 20.15.4.4 / 20.15.5.2 |
| 20.16 | 20.18.2.2 |
| 20.18 | 20.18.2.2 |
| 26.1.1 | 26.1.1.1 |
Cisco evidenzia che molte release hanno purtroppo raggiunto la fine del supporto software (EoL, End Of Life) e raccomanda di migrare verso versioni supportate.
Per verificare la versione e capire se il sistema è vulnerabile, gli admin devono controllare la release del controller Cisco Catalyst SD-WAN e poi confrontarla con le versioni corrette pubblicate dal vendor. Se il sistema utilizza una release precedente rispetto a quanto riportato in tabella, occorre procedere al replat, in quanto il dispositivo risulta affetto dalla vulnerabilità CVE-2026-20182.
La ricerca è stata condotta da Rapid7, che ha collaborato attivamente con Cisco in tutto il processo di coordinated responsible disclosure (CVD). Cisco ha confermato di aver ricevuto l’exploit code e i dettagli tecnici il 9 marzo 2026, mentre la divulgazione pubblica è avvenuta il 14 maggio 2026.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]