Přejít na hlavní obsah
CIAD

Cisco záplatovalo aktivně zneužívanou díru v správci podnikových sítí

Zranitelnost CVE-2026-20262 v Cisco Catalyst SD-WAN Manageru umožňuje útočníkovi převzít plnou kontrolu. CISA vyžaduje záplatu do 29. 6. 2026.

Pokud vaše firma nebo organizace používá síťová zařízení Cisco řízená centrálním nástrojem SD-WAN Manager, jde o bezpečnostní případ, který nelze odkládat. Cisco vydalo záplaty pro závažnou zranitelnost označenou CVE-2026-20262 (závažnost CVSS 6.5) v produktu Catalyst SD-WAN Manager, dříve známém jako SD-WAN vManage. Americká agentura pro kybernetickou bezpečnost CISA (Cybersecurity and Infrastructure Security Agency) potvrdila, že chybu útočníci aktivně využívají v reálných útocích, a 15. 6. 2026 ji zařadila do svého katalogu Known Exploited Vulnerabilities (KEV), tedy katalogu chyb aktivně zneužívaných v praxi. Federální agentury USA musí záplatu nasadit do 29. 6. 2026.

Co se děje a proč na tom záleží

Zranitelnost spadá do kategorie zvané path traversal, nebo-li průchod adresářovou cestou. Jde o typ chyby, při níž útočník obejde omezení, kde smí systém zapisovat soubory, a zapíše je kamkoli chce. V tomto případě to útočníkovi umožní eskalaci oprávnění, tedy zvýšení vlastních práv, až na úroveň root, což je nejvyšší možná kontrola nad systémem. Technicky jde o kategorii CWE-22 (arbitrary file write) v API rozhraní pro nahrávání souborů.

Klíčové je, že útočník k tomu nepotřebuje být administrátor. Stačí mu mít jakýkoli, byť omezený, přístup k systému. Cisco PSIRT (bezpečnostní tým Cisco) potvrdil, že k omezeným, cíleným útokům v produkčních prostředích již došlo.

SD-WAN Manager je centrální řídicí prvek rozsáhlých podnikových sítí. Kdo nad ním získá kontrolu, může měnit konfiguraci síťových politik, zachytávat síťový provoz nebo se pohybovat dál do navazující infrastruktury organizace. Pro organizace z oblasti veřejné správy, kritické infrastruktury nebo velkých podniků, které tuto technologii nasazují, jde o prioritní bezpečnostní případ.

Co dělat

Workaround, tedy dočasné obejití problému bez záplaty, neexistuje. Jediným účinným opatřením je upgrade na opravené verze: 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1 nebo 26.1.1.2.

  • Ověřte verzi Cisco Catalyst SD-WAN Manager ve všech nasazeních a porovnejte ji s výčtem opravených větví.
  • Naplánujte upgrade mimo provozní špičku, ale bez zbytečného odkladu. Záplata je jediným dostupným řešením.
  • Do upgradu omezte přístup k API rozhraní SD-WAN Manageru na důvěryhodné sítě a minimalizujte počet oprávněných uživatelů.
  • Prověřte logy přístupu k API pro nahrávání souborů a hledejte neočekávané cesty nebo neobvyklá uživatelská jména.
  • Sledujte upozornění Cisco PSIRT a CISA KEV katalogu pro případné aktualizace hodnocení.

Co z toho plyne

Aktivně zneužívaná zranitelnost v centrálním řídicím nástroji podnikové sítě je vážná hrozba. Útočník s jakýmkoli přístupem k systému může získat plnou kontrolu nad celou síťovou infrastrukturou. Záplata existuje a je nutné ji nasadit bez prodlení. Deadline pro federální agentury USA je 29. 6. 2026; pro ostatní organizace platí stejná naléhavost.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog