Spoločnosť Cisco vydala urgentné bezpečnostné upozornenie po tom, čo potvrdila, že kritická zraniteľnosť umožňujúca obídenie autentifikácie v jej infraštruktúre Catalyst SD-WAN je aktívne zneužívaná v reálnych útokoch. Situácia vyvoláva rozsiahle obavy medzi podnikovými a vládnymi sieťami po celom svete.
Zraniteľnosť sledovaná pod označením CVE-2026-20182 má maximálne možné skóre závažnosti CVSS 10.0 a ovplyvňuje niekoľko kľúčových komponentov ekosystému Cisco SD-WAN. Podľa spoločnosti môžu útočníci zraniteľnosť zneužiť na diaľku a bez autentifikácie, aby získali zvýšené administrátorské oprávnenia v zasiahnutých systémoch.
Úspešné zneužitie môže útočníkom umožniť manipulovať s podnikovou sieťovou prevádzkou, meniť konfigurácie SD-WAN, vytvoriť si perzistentný prístup v prostrediach kritickej infraštruktúry a potenciálne narušiť komunikáciu naprieč globálne distribuovanými firemnými sieťami.
Zraniteľnosť obídenia autentifikácie cieli na infraštruktúru Cisco SD-WAN
Vo svojom bezpečnostnom upozornení spoločnosť Cisco uviedla, že zraniteľnosť sa nachádza v mechanizme autentifikácie peeringu používanom komponentmi Cisco Catalyst SD-WAN Controller – predtým známym ako vSmart – a Cisco Catalyst SD-WAN Manager, predtým nazývaným vManage.
Spoločnosť vysvetlila, že problém vzniká v dôsledku zlyhania procesu autentifikácie zariadení, ktorý riadi dôveryhodné vzťahy medzi jednotlivými komponentmi SD-WAN.
„Zraniteľnosť v mechanizme autentifikácie peeringu môže umožniť neautentifikovanému vzdialenému útočníkovi obísť autentifikáciu a získať administrátorské oprávnenia v zasiahnutom systéme,“ uviedla spoločnosť Cisco vo svojom upozornení.
Podľa spoločnosti môžu útočníci zneužiť chybu zaslaním špeciálne vytvorených sieťových požiadaviek na zraniteľné systémy. Keďže problém nevyžaduje platné prihlasovacie údaje ani interakciu používateľa, bezpečnostní analytici ho označujú za mimoriadne nebezpečný najmä pre prostredia vystavené internetu.
Cisco potvrdilo, že ovplyvnené sú nasledujúce nasadenia:
- On-premises nasadenia Cisco Catalyst SD-WAN
- Cisco SD-WAN Cloud-Pro
- Cloudová infraštruktúra SD-WAN spravovaná spoločnosťou Cisco
- Cisco SD-WAN for Government (FedRAMP)
Spoločnosť vydala softvérové aktualizácie riešiace problém a zákazníkov vyzvala, aby záplaty aplikovali okamžite.
Útočníci môžu získať vysokú úroveň administrátorského prístupu
Zraniteľnosť je obzvlášť vážna, pretože jej zneužitie prakticky umožňuje útočníkom vydávať sa za dôveryhodné zariadenia v rámci SD-WAN fabric.
Po úspešnom útoku sa môžu údajne prihlásiť ako privilegovaný interný účet a získať prístup k rozhraniam NETCONF, ktoré sa používajú na centralizovanú správu siete.
Takáto úroveň prístupu môže útočníkom umožniť:
- upravovať SD-WAN routing politiky,
- meniť pravidlá segmentácie,
- presmerovať alebo zachytávať podnikovú komunikáciu,
- nasadzovať škodlivé konfigurácie,
- vypnúť bezpečnostné ochrany,
- udržiavať trvalý prístup naprieč pobočkovou infraštruktúrou.
Výskumníci upozorňujú, že SD-WAN controllery často predstavujú „mozog“ podnikových sieťových prostredí, pretože riadia komunikáciu medzi dátovými centrami, pobočkami, cloudovými prostrediami a vzdialenými pracovníkmi.
Kompromitácia takýchto systémov by preto mohla útočníkom poskytnúť rozsiahlu operačnú kontrolu nad celou podnikovou infraštruktúrou.
Výskumníci zo spoločnosti Rapid7, ktorí zraniteľnosť objavili, uviedli, že problém má podobnosti s ďalšou kritickou zraniteľnosťou obídenia autentifikácie v Cisco SD-WAN, ktorá bola zverejnená začiatkom tohto roka: CVE-2026-20127.
Aj predchádzajúca zraniteľnosť získala skóre CVSS 10.0 a údajne ju od roku 2023 zneužívala skupina sledovaná pod označením UAT-8616.
Podľa výskumníkov spoločnosti Rapid7, Jonaha Burgessa a Stephena Fewera, obe zraniteľnosti zahŕňajú rovnakú základnú SD-WAN službu známu ako „vdaemon“.
„Táto nová zraniteľnosť obídenia autentifikácie ovplyvňuje službu ‘vdaemon’ cez DTLS na UDP porte 12346, čo je tá istá služba, ktorá bola predtým zraniteľná voči CVE-2026-20127,“ vysvetlili výskumníci.
Zároveň však zdôraznili, že CVE-2026-20182 nie je obídením záplaty ani neúplnou opravou predchádzajúceho problému.
Namiesto toho ju opísali ako „odlišný problém nachádzajúci sa v podobnej časti sieťového stacku služby vdaemon“.
Napriek technickým rozdielom zostáva výsledok z pohľadu prevádzky prakticky rovnaký: vzdialený útočník sa môže vydávať za dôveryhodné peer zariadenie a vykonávať privilegované administrátorské operácie bez autentifikácie.
Cisco potvrdzuje aktívne zneužívanie v reálnych útokoch
Cisco uviedlo, že si v máji 2026 všimlo „obmedzené zneužívanie“ tejto zraniteľnosti, hoci spoločnosť nezverejnila počet kompromitovaných organizácií ani identitu útočníkov.
Potvrdenie aktívneho zneužívania výrazne zvyšuje urgentnosť problému, pretože útočníci už zraniteľnosť využívajú proti reálnym cieľom ešte predtým, než mnohé organizácie aplikovali opravy.
Takéto zraniteľnosti sú mimoriadne atraktívne pre finančne motivovaných kyberzločincov aj štátom podporovaných aktérov, keďže infraštruktúra SD-WAN často stojí v centre podnikovej komunikácie.
Za najvyššie riziko sa považujú organizácie prevádzkujúce internetovo dostupné systémy správy SD-WAN.
Cisco konkrétne upozornilo, že vystavené porty SD-WAN controllerov výrazne zvyšujú pravdepodobnosť kompromitácie.
SD-WAN infraštruktúra sa stáva hlavným cieľom útočníkov
Zverejnenie tejto zraniteľnosti odráža širší trend v kybernetickej bezpečnosti, pri ktorom útočníci čoraz viac cielia na centralizované systémy správy siete namiesto jednotlivých endpointov.
Počas posledných rokov sa aktéri hrozieb agresívne zameriavajú najmä na:
- VPN brány,
- firewally,
- SD-WAN zariadenia,
- cloudové manažment konzoly,
- virtualizačné platformy,
- rozhrania vzdialenej správy.
Bezpečnostné agentúry vrátane organizácií ako CISA a NSA opakovane upozorňujú, že internetovo dostupné sieťové zariadenia patria medzi najčastejšie napádané aktíva v podnikových prostrediach.
SD-WAN technológie sú pre útočníkov mimoriadne atraktívne, pretože poskytujú centralizovanú viditeľnosť a kontrolu nad distribuovanou firemnou infraštruktúrou.
V mnohých prostrediach controllery SD-WAN udržiavajú dôveryhodné vzťahy so stovkami až tisíckami pobočkových zariadení, čo z nich robí vysoko hodnotné ciele pre útočníkov snažiacich sa získať rozsiahly prístup.
Rastú obavy o bezpečnosť podnikových sietí
Vznik ďalšej kritickej zraniteľnosti postihujúcej produkty Cisco SD-WAN pravdepodobne zvýši tlak na procesy patch managementu a hardening sieťovej infraštruktúry.
Organizácie často odkladajú aktualizácie sieťových zariadení kvôli prevádzkovým obavám alebo strachu z výpadkov, čím vzniká príležitosť pre útočníkov.
Keďže sa očakáva rýchle šírenie detailov proof-of-concept exploitov po verejnom zverejnení, analytici predpokladajú, že v najbližších týždňoch sa pokúsi o zneužitie aj viacero ďalších aktérov hrozieb.
Organizácie by mali:
- okamžite aplikovať Cisco záplaty,
- obmedziť internetovú dostupnosť SD-WAN controllerov,
- oddeliť manažment infraštruktúry od produkčných sietí,
- zapnúť kontinuálne monitorovanie a logovanie,
- vykonať retrospektívny threat hunting zameraný na neautorizované peer aktivity,
- auditovať administrátorské prístupy v prostredí SD-WAN.
Keďže podniky pokračujú v adopcii hybridných cloudových architektúr a softvérovo definovaných sieťových technológií, odborníci na kybernetickú bezpečnosť varujú, že útoky na centralizované orchestration systémy budú pravdepodobne čoraz častejšie a sofistikovanejšie.
Pre mnohé organizácie je tento incident ďalším pripomenutím, že platformy na správu siete dnes predstavujú jedny z najkritickejších – a zároveň najzraniteľnejších – aktív modernej podnikovej infraštruktúry.
Viac informácií tu:
https://www.linkedin.com/comm/pulse/cisco-warns-actively-exploited-critical-sd-wan-hbnxe
https://thehackernews.com/2026/05/cisco-catalyst-sd-wan-controller-auth.html
https://thehackernews.com/2026/05/cisa-adds-cisco-sd-wan-cve-2026-20182.html