AbejaIT AbejaIT

Zero-day CVE-2026-20245 w Cisco Catalyst SD-WAN – eskalacja do root po 2 miesiącach exploitacji

02.07.2026

Krytyczna podatność w Cisco Catalyst SD-WAN (CVE-2026-20245, CVSS 7.8) była aktywnie wykorzystywana przez nieznanych atakujących co najmniej dwa miesiące przed jej oficjalnym ujawnieniem. Luka umożliwia uwierzytelnionemu użytkownikowi lokalnemu eskalację uprawnień i wykonanie dowolnych poleceń z poziomem roota. Organizacje korzystające z rozwiązań SD-WAN firmy Cisco powinny niezwłocznie zastosować dostępne łatki bezpieczeństwa.

Cisco potwierdziło aktywną eksploatację podatności CVE-2026-20245 w Cisco Catalyst SD-WAN – luki o ocenie CVSS 7.8, która umożliwia lokalnemu, uwierzytelnionemu użytkownikowi eskalację uprawnień do poziomu root i wykonanie dowolnych poleceń systemowych. Atakujący wykorzystywali lukę co najmniej dwa miesiące przed oficjalnym ujawnieniem i publikacją łatki. Dla polskich firm B2B korzystających z SD-WAN Cisco do łączenia oddziałów, centrów danych i chmury, incydent ten ma bezpośredni wpływ na ciągłość operacyjną i bezpieczeństwo sieci WAN.

SD-WAN jako krytyczny element infrastruktury

SD-WAN (Software-Defined Wide Area Network) centralizuje zarządzanie routingiem, politykami bezpieczeństwa i QoS między wieloma lokalizacjami. Kompromitacja kontrolera SD-WAN daje atakującemu widoczność i kontrolę nad ruchem między wszystkimi podłączonymi site'ami – równoważne przejęciu rdzenia sieci korporacyjnej. Eskalacja do root na urządzeniu SD-WAN umożliwia instalację backdoorów, modyfikację reguł firewall, przechwytywanie ruchu VPN i lateral movement do segmentów, które powinny być izolowane.

Organizacje często traktują urządzenia sieciowe jako „ustaw i zapomnij” – aktualizacje firmware są odkładane z obawy przed przerwą w łączności. Dwa miesiące aktywnej eksploatacji przed ujawnieniem pokazują, że atakujący monitorują takie luki i wykorzystują okno, zanim vendor opublikuje advisory.

Natychmiastowe kroki remediacji

  • Patch – zastosuj łatkę Cisco z advisory w oknie maintenance z planem rollback.
  • Inwentaryzacja – zidentyfikuj wszystkie wdrożenia Catalyst SD-WAN i wersje oprogramowania.
  • Threat hunting – szukaj nietypowych kont lokalnych, cron jobs i modyfikacji konfiguracji.
  • Segmentacja – ogranicz dostęp administracyjny do SD-WAN tylko z jump hostów.

Zero-day a proces zarządzania podatnościami

Incydent CVE-2026-20245 ilustruje ograniczenia tradycyjnego vulnerability management opartego wyłącznie na CVE feedach – luka była wykorzystywana, zanim trafiła do publicznych baz. Organizacje powinny uzupełnić patch management o threat hunting na urządzeniach sieciowych, monitoring anomalii konfiguracji (np. Cisco IOS XE integrity verification) oraz współpracę z vendorem w programach early notification.

Dla firm bez dedykowanego zespołu network security, outsourcing infrastruktury IT z SLA na remediację krytycznych CVE w urządzeniach brzegowych może skrócić exposure window z tygodni do godzin.

Wpływ na architekturę multi-site

Polskie firmy z oddziałami w wielu miastach lub krajach często polegają na SD-WAN do spójnych polityk bezpieczeństwa. Kompromitacja centralnego managera oznacza, że atakujący może dystrybuować złośliwe reguły do wszystkich edge device'ów jednocześnie. Po remediacji warto przeprowadzić pełny audit konfiguracji – porównanie running-config z golden template i weryfikacja certyfikatów VPN.

Backup konfiguracji SD-WAN powinien być przechowywany offline i weryfikowany pod kątem integralności przed restore. Procedura disaster recovery musi uwzględniać scenariusz kompromitacji samego kontrolera, nie tylko awarię sprzętową.

Lekcje dla CISO

CISO powinien raportować zarządowi nie tylko liczbę niezałatanych CVE, lecz czas ekspozycji na znane aktywnie wykorzystywane podatności. Dwa miesiące pre-disclosure exploitation to argument za inwestycją w network detection na urządzeniach zarządzanych i w regularnych red team exercises obejmujących infrastrukturę WAN.

Organizacje objęte NIS2 z infrastrukturą krytyczną muszą dokumentować remediację w terminach określonych przez regulację – opóźnienie patchowania SD-WAN może skutkować sankcjami administracyjnymi niezależnie od tego, czy doszło do faktycznego incydentu.

Komunikacja z biznesem podczas remediacji SD-WAN

Patchowanie SD-WAN często wymaga okna maintenance wpływającego na łączność między oddziałami. Dyrektor IT powinien przygotować plan komunikacji z biznesem: alternatywne ścieżki (backup LTE, split tunnel), godziny minimalnego ruchu i procedurę rollback. Transparentność wobec użytkowników końcowych redukuje presję na pominięcie patcha „do następnego kwartału” – schemat, który w przypadku CVE-2026-20245 mógł kosztować dwa miesiące ekspozycji.

W contractach SLA z dostawcami managed SD-WAN warto wpisać maksymalny czas remediacji krytycznych CVE (np. 72h od advisory) – przeniesienie odpowiedzialności operacyjnej na partnera z jasnymi konsekwencjami.

Vendor risk management dla Cisco

Organizacje powinny włączyć Cisco PSIRT advisories do procesu vendor risk management z automatycznymi ticketami w ITSM po publikacji CVE dotyczących wdrożonych produktów. Integracja API Cisco z ServiceNow lub Jira skraca czas między advisory a przypisaniem właściciela remediacji. Contract z Cisco Smart Net Total Care lub partnerem GOLD daje dostęp do wcześniejszych notification – wartość przy zero-day jak CVE-2026-20245.

Dokumentacja topologii SD-WAN – diagramy, wersje firmware, lista site'ów – powinna być zawsze aktualna; bez niej threat hunting po incydencie trwa dni zamiast godzin.

Podsumowanie

CVE-2026-20245 w Cisco Catalyst SD-WAN to przypomnienie, że urządzenia sieciowe są priorytetowym celem atakujących. Natychmiastowe patchowanie, threat hunting i hardening dostępu administracyjnego to minimum. Oferujemy wsparcie w zarządzaniu infrastrukturą sieciową i usługach IT dla firm z programami patch management i IR.

Źródło: The Hacker News – Cisco Catalyst SD-WAN Zero-Day CVE-2026-20245 Exploited to Gain Root Access