Cisco phát hành bản vá khẩn cấp cho lỗ hổng trên SD-WAN Manager đang bị khai thác

Cisco vừa chính thức phát hành các bản cập nhật bảo mật nhằm khắc phục một lỗ hổng có mức độ nghiêm trọng trung bình trong Catalyst SD-WAN Manager (trước đây là SD-WAN vManage). Đáng chú ý, lỗ hổng này đã bị ghi nhận đang bị khai thác trong thực tế.

Chi tiết về lỗ hổng CVE-2026-20262

Lỗ hổng được định danh là CVE-2026-20262 với điểm CVSS là 6.5/10. Theo Cisco, vấn đề nằm ở giao diện web (web UI) của hệ thống, nơi việc kiểm soát dữ liệu đầu vào trong quá trình tải tệp tin (file upload) không được thực hiện chặt chẽ.

Kẻ tấn công đã xác thực (có quyền truy cập ghi) có thể gửi các yêu cầu HTTP tùy chỉnh đến API endpoint bị ảnh hưởng để tạo mới hoặc ghi đè bất kỳ tệp tin nào trên hệ điều hành bên dưới. Nếu khai thác thành công, kẻ tấn công có khả năng leo thang đặc quyền lên quyền root.

Các sản phẩm bị ảnh hưởng

Lỗ hổng này tác động đến nhiều loại hình triển khai khác nhau, bao gồm:

• Cisco Catalyst SD-WAN Manager On-Prem
• Cisco SD-WAN Cloud-Pro
• Cisco SD-WAN Cloud (Cisco Managed)
• Cisco SD-WAN for Government (FedRAMP)

Khuyến nghị hành động

Cisco đã cung cấp các bản vá cho nhiều phiên bản khác nhau. Người dùng cần kiểm tra phiên bản hiện tại và cập nhật lên các bản phát hành đã được khắc phục (ví dụ: 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, và 26.1.1.2).

Ngoài ra, Cisco khuyến cáo quản trị viên nên kiểm tra tệp log /var/log/nms/vmanage-server.log để tìm kiếm các dấu hiệu bất thường như việc tải lên các tệp tin WAR đáng ngờ. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã đưa lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV), yêu cầu các cơ quan liên bang phải hoàn tất việc vá lỗi trước ngày 29/06/2026.

Đây là lỗ hổng thứ tám liên quan đến Cisco SD-WAN bị phát hiện khai thác trong năm nay, cho thấy xu hướng các nhóm APT đang tập trung nhắm mục tiêu vào các thiết bị hạ tầng mạng quan trọng.

Nguồn tham khảo: The Hacker News