Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) vydala urgentnú smernicu pre federálne agentúry USA, aby opravili novozaznamenanú zraniteľnosť ovplyvňujúcu široko používanú platformu na správu SD-WAN od spoločnosti Cisco, pričom varuje, že chyba je už aktívne zneužívaná útočníkmi.
Zraniteľnosť – sledovaná ako CVE-2026-20133 – ovplyvňuje Cisco Catalyst SD-WAN Manager, centralizovaný systém používaný podnikmi a vládnymi sieťami na riadenie a monitorovanie tisícok distribuovaných sieťových zariadení. Platforma, predtým známa ako vManage, dokáže spravovať až 6 000 zariadení z jedného rozhrania, čo z nej robí kritickú súčasť vo veľkorozsahových infraštruktúrnych prostrediach.
CISA tento týždeň pridala chybu do svojho katalógu Known Exploited Vulnerabilities (KEV), pričom uviedla potvrdené dôkazy útokov v reálnom svete. V dôsledku toho dostali agentúry v rámci Federal Civilian Executive Branch (FCEB) iba 4 dni na aplikovanie záplat alebo mitigácií, s termínom splnenia stanoveným na 24. apríla.
Celkovo CISA pridala 8 nových zraniteľností do svojho katalógu Known Exploited Vulnerabilities (KEV), vrátane zraniteľnosti Cisco Catalyst SD-WAN Manager.
Smernica zdôrazňuje závažnosť problému. Zaradenie do KEV katalógu je typicky vyhradené pre zraniteľnosti, ktoré predstavujú okamžité riziko kvôli prebiehajúcemu zneužívaniu, často sofistikovanými útočníkmi.
CISA nariadila agentúram, aby postupovali podľa stratégií mitigácie uvedených v Emergency Directive 26-03, ako aj podľa širších odporúčaní na hardening pre SD-WAN prostredia. V prípadoch, kde náprava nie je realizovateľná, bolo agentúram odporučené úplne ukončiť používanie dotknutých systémov.
Podľa Cisco zraniteľnosť vyplýva z nedostatočných kontrol prístupu k súborovému systému v softvéri SD-WAN Manager.
Táto slabina umožňuje neautentifikovaným vzdialeným útočníkom interagovať s vystavenými API a získavať citlivé informácie z podkladových systémov – bez potreby platných prihlasovacích údajov.
Cisco predtým vysvetlilo, že úspešné zneužitie môže útočníkom umožniť:
- prístup k dôverným systémovým dátam
- extrahovanie prevádzkových alebo konfiguračných detailov
- potenciálne mapovanie interných sieťových štruktúr
Hoci je chyba klasifikovaná ako problém úniku informácií a nie priame vzdialené vykonávanie kódu, takéto zraniteľnosti sa často používajú ako odrazové mostíky v širších útočných reťazcoch.
Protichodné signály o zneužívaní
Pozoruhodné je, že Cisco zatiaľ verejne nepotvrdilo aktívne zneužívanie CVE-2026-20133. Jeho advisory od Product Security Incident Response Team (PSIRT) naďalej uvádza, že neexistujú žiadne známe verejné správy o škodlivom využití.
Tento rozpor medzi hodnotením CISA a oficiálnym postojom Cisco poukazuje na opakujúcu sa výzvu pri zverejňovaní zraniteľností – keď vládne spravodajstvo môže identifikovať aktivitu zneužívania skôr, než ju dodávatelia dokážu nezávisle overiť alebo verejne potvrdiť.
Širší vzorec útokov na zraniteľnosti Cisco
Novo označená chyba nie je izolovaný prípad. V posledných mesiacoch Cisco riešilo viacero kritických zraniteľností ovplyvňujúcich jeho sieťové a bezpečnostné produkty.
Koncom februára, spolu s CVE-2026-20133, Cisco opravilo dve ďalšie chyby – CVE-2026-20128 a CVE-2026-20122 – ktoré boli neskôr potvrdené ako aktívne zneužívané.
Ešte znepokojivejšia bola CVE-2026-20127, kritická zraniteľnosť obchádzania autentifikácie zverejnená začiatkom tohto roka. Táto chyba bola zneužívaná v zero-day útokoch minimálne od roku 2023, čo útočníkom umožňovalo vložiť podvrhnuté zariadenia do cieľových sietí – čím efektívne získali perzistentný, skrytý prístup.
V marci Cisco tiež vydalo záplaty pre dve zraniteľnosti s maximálnou závažnosťou v jeho Secure Firewall Management Center (FMC). Tieto chyby mohli útočníkom umožniť získať prístup na úrovni root a vykonávať ľubovoľný kód, čo predstavuje scenár úplného kompromitovania systému.
Rastúce riziko pre kritickú infraštruktúru
SD-WAN systémy sú obzvlášť atraktívne ciele, pretože sa nachádzajú v jadre podnikových sietí.
Ak útočníci získajú prehľad o SD-WAN kontroléroch, môžu efektívne mapovať a manipulovať celé siete, a aj zraniteľnosti úniku informácií môžu byť v týchto prostrediach extrémne nebezpečné.
Dáta CISA tento trend potvrdzujú. Za posledné roky agentúra identifikovala viac než 90 zraniteľností Cisco ako aktívne zneužívané v praxi. Najmenej šesť z nich bolo spojených s ransomvérovými kampaňami, čo poukazuje na ich úlohu vo finančne motivovanej kyberkriminalite.
Urgentná výzva pre organizácie mimo vlády
Hoci sa smernica CISA vzťahuje konkrétne na federálne agentúry, organizácie zo súkromného sektora používajúce Cisco SD-WAN riešenia čelia podobným rizikám.
Všetky organizácie by mali:
- okamžite aplikovať najnovšie bezpečnostné záplaty
- obmedziť prístup k manažment rozhraniam
- monitorovať logy na podozrivú API aktivitu
- vykonávať threat hunting na známky kompromitácie
Zlyhanie v rýchlej reakcii môže zanechať siete vystavené prebiehajúcim kampaniam zneužívania, ktoré sa môžu rozšíriť aj mimo vládnych cieľov.
Päť ďalších bezpečnostných zraniteľností
Najnovšie prírastky do katalógu Known Exploited Vulnerabilities od CISA zahŕňajú nasledujúce problémy:
CVE-2023-27351 – zraniteľnosť v PaperCut NG/MF, ktorá je aktívne zneužívaná od začiatku roku 2023 skupinou Lace Tempest, pridruženou k ransomvérovej operácii Clop.
CVE-2024-27199 – chyba v JetBrains TeamCity, ktorú útočníci využívajú od začiatku roku 2024.
CVE-2025-2749 – zraniteľnosť ovplyvňujúca Kentico Xperience, zatiaľ bez potvrdených správ o aktívnom zneužívaní.
CVE-2025-32975 – bezpečnostný problém ovplyvňujúci Quest KACE Systems Management Appliance. V marci 2026 Arctic Wolf zaznamenal podozrivú aktivitu v prostrediach zákazníkov, ktorá môže súvisieť s jeho zneužitím.
CVE-2025-48700 – zero-click cross-site scripting (XSS) zraniteľnosť v Zimbra Collaboration Suite vyvinutej spoločnosťou Synacor. Podľa Štátnej služby špeciálnej komunikácie Ukrajiny je zneužívaná od konca septembra 2025.
Prebiehajúce vyšetrovanie
V súčasnosti sú detaily o útočníkoch zneužívajúcich CVE-2026-20133 obmedzené. Ani CISA, ani Cisco zatiaľ verejne nepripísali aktivitu konkrétnej skupine.
Vzhľadom na strategický význam SD-WAN infraštruktúry sú pravdepodobnými kandidátmi aktéri podporovaní štátom aj kyberzločinecké skupiny.
Situácia zostáva dynamická, pričom sa očakávajú ďalšie informácie, ako vyšetrovanie pokračuje.
Viac informácií tu:
https://thehackernews.com/2026/04/cisa-adds-8-exploited-flaws-to-kev-sets.html
https://www.linkedin.com/comm/pulse/cisa-warns-actively-exploited-cisco-sd-wan-flaw-igohe