CVE-2026-20182: уязвимость в Cisco SD-WAN с оценкой 10/10 уже эксплуатируется

Cisco подтвердила активные атаки на контроллеры SD-WAN через уязвимость с максимальной оценкой по CVSS — 10 из 10. Злоумышленники получают полный контроль над сетевой инфраструктурой без пароля и без учётной записи. Патч есть, но только для актуальных версий.

CVE-2026-20182 затрагивает Cisco Catalyst SD-WAN Controller. Уязвимость живёт в сервисе vdaemon, который работает через UDP-порт 12346. Суть проблемы — система не проверяет сертификат для устройств типа vHub и автоматически считает такое подключение доверенным.

Это значит: любой атакующий может прикинуться легитимным устройством сети, не имея ни пароля, ни учётной записи. Система сама откроет дверь.

Исследователи Rapid7 восстановили полную цепочку. Для эксплуатации достаточно трёх шагов: установить DTLS-соединение с любым самоподписанным сертификатом, отправить специально сформированный пакет CHALLENGE_ACK, затем активировать соединение командой Hello. После этого контроллер признаёт атакующего доверенным участником SD-WAN-сети.

Дальше — по накатанной. Злоумышленник внедряет собственный SSH-ключ в учётную запись vmanage-admin и получает постоянный доступ через NETCONF. Меняет конфигурацию. Добавляет ещё ключи. Пытается получить права root.

Никакого сложного инструментария не нужно. Никакой предварительной разведки учётных данных. Уязвимость работает из интернета против любого доступного контроллера.

Cisco Talos связывает активность с группой UAT-8616. Та же группа ранее эксплуатировала CVE-2026-20127 — похожую уязвимость в том же продукте. Часть инфраструктуры атакующих пересекается с сетями Operational Relay Box, которые используют для сокрытия источников атак.

Параллельно Cisco Talos зафиксировала массовые атаки через три смежные уязвимости: CVE-2026-20133, CVE-2026-20128 и CVE-2026-20122. Их объединяли в цепочку для получения удалённого доступа к необновлённым системам.

После взлома злоумышленники разворачивали полноценный арсенал:

• веб-оболочки XenShell, Godzilla и Behinder для постоянного присутствия в системе

• майнер XMRig — классический способ монетизировать захваченные мощности

• инструменты удалённого управления Sliver и AdaptixC2

• кража учётных данных и ключей AWS

Отдельный эпизод — модифицированный вредонос на языке Nim, который, по оценке Cisco Talos, мог быть написан с помощью ИИ-инструментов. Загружали его через платформу Replit, использовали для удалённого выполнения команд, кражи файлов и сбора информации о системе.

Cisco выпустила исправления. CVE-2026-20182 закрыта в версиях 20.12.6.2, 20.12.7.1, 20.15.5.2 и 20.18.2.2. Обновление надо ставить немедленно — уязвимость уже эксплуатируется в реальных атаках, не в теории.

Но есть важный нюанс: для старых веток SD-WAN патчей не будет. Cisco прямо предупредила — администраторам придётся мигрировать на поддерживаемые версии. Это не просто «рекомендация для галочки»: если ваша инфраструктура работает на устаревшей ветке, закрытого пути нет.

SD-WAN — это не просто «ещё одна сетевая железка». Контроллер SD-WAN управляет маршрутизацией трафика между офисами, дата-центрами и облаком. Кто контролирует контроллер — контролирует всю корпоративную сеть: видит трафик, может его перенаправить, может изолировать сегменты или, наоборот, открыть доступ куда угодно.

Именно поэтому CVSS 10/10 здесь не формальность. Это оценка реального радиуса поражения: один скомпрометированный контроллер — и атакующий получает ключи от всей распределённой инфраструктуры компании.

По данным SecurityLab, атаки уже идут. Группа UAT-8616 не ждала публикации Rapid7 — они работали параллельно с исследованием. Это означает, что между «уязвимость обнаружена» и «уязвимость эксплуатируется» прошло не месяцев, а дней или недель.

Для CIO практический вопрос сейчас один: на каких версиях SD-WAN работает ваша инфраструктура и есть ли для них патч. Если ответ «не знаю» — это уже проблема, независимо от того, атаковали вас или нет.

Интереснее другое: Nim-вредонос, предположительно написанный с помощью ИИ, — это первый публично задокументированный случай в этой кампании или уже рутина? Если второе, порог входа для создания специализированного вредоноса под конкретную архитектуру только что стал значительно ниже.

—

[ВКонтакте](https://vk.com/ciologia)

[Одноклассники](https://ok.ru/group/70000049644223)

[Дзен](https://dzen.ru/ciologia)

[Сетка](https://setka.ru/users/4e7ada8b-279e-41e9-846d-291aa630d204)

[Telegram](https://t.me/CIOlogia)

[Habr](https://habr.com/ru/users/CIOlogia/posts/)

[TenChat](https://tenchat.ru/ciologia)

[LinkedIn](https://www.linkedin.com/in/vladislav-prokopovich-bb808376/)