أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة الأمنية (CVE-2026-20182 بتقييم CVSS عند 10) المكتشفة في منتجات Cisco Catalyst SD-WAN إلى كتالوج الثغرات المستغلة المعروفة (KEV)، وذلك عقب تأكيد استغلالها في هجمات محدودة استهدفت الوصول الإداري إلى أنظمة التحكم في شبكات SD-WAN.
وأفادت Cisco بأن هذه الثغرة تؤثر في آلية مصادقة الأقران داخل Cisco Catalyst SD-WAN Controller المعروف سابقاً باسم SD-WAN vSmart، وCisco Catalyst SD-WAN Manager المعروف سابقاً باسم SD-WAN vManage. حيث يتاح للمهاجم غير المصادق عليه إرسال طلبات معدة خصيصاً عن بُعد لتجاوز المصادقة، للحصول على امتيازات إدارية كاملة على النظام المتأثر.
وتشمل البيئات المتأثرة عمليات النشر المحلية، وCisco SD-WAN Cloud-Pro، وCisco SD-WAN Cloud التي تديرها Cisco، بالإضافة إلى Cisco SD-WAN for Government ضمن إطار FedRAMP. ووفقاً للتفاصيل الفنية المنشورة، يزداد خطر الاستغلال بشكل حاد على الأنظمة التي تكون واجهاتها أو منافذها الإدارية مكشوفة على شبكة الإنترنت.
من جهتها، أوضحت شركة Rapid7 التي اكتشفت الثغرة، أن الخلل يكمن في خدمة vdaemon عبر بروتوكول DTLS على منفذ UDP 12346، وهي الخدمة ذاتها التي تأثرت بثغرة سابقة تحمل المعرف CVE-2026-20127. ومع ذلك، أكدت الشركة أن الثغرة الحالية لا تعد تجاوزاً للتصحيح السابق، بل هي مشكلة برمجية مستقلة في جزء مشابه من مكدس الشبكات الخاص بالخدمة.
ويتمثل أثر الاستغلال في قدرة المهاجم على الظهور ككيان مصادق عليه (Peer) داخل الجهاز المستهدف، ومن ثم تنفيذ عمليات بامتيازات مرتفعة، تشمل حقن مفتاح SSH يسيطر عليه المهاجم في حساب vmanage-admin الداخلي، والوصول لاحقاً إلى خدمة NETCONF عبر المنفذ TCP 830 لإصدار أوامر تؤدي إلى تعديل إعدادات نسيج شبكة SD-WAN بالكامل.
وفي هذا الصدد، أعلنت Cisco أنها رصدت استغلالاً محدوداً للثغرة في مايو 2026، وبادرت بنشر تحديثات برمجية لمعالجتها، مؤكدة عدم توفر أي حلول بديلة مباشرة. وتشمل الإصدارات التي توفر الإصلاحات اللازمة، بحسب الفرع المستخدم، النسخ التالية: 20.9.9.1، 20.12.7.1، 20.12.5.4، 20.12.6.2، 20.15.4.4، 20.15.5.2، 20.18.2.2، و26.1.1.1، مع توصية مشددة بترقية الإصدارات التي انتهت فترة صيانتها إلى إصدارات مدعومة.
كما نصحت Cisco العملاء بضرورة مراجعة ملف سجلات المصادقة /var/log/auth.log للبحث عن أي إدخالات تشير إلى قبول مفتاح عام (Public Key) لحساب vmanage-admin من عناوين IP غير معروفة، مع تدقيق أحداث ارتباط الأقران المشبوهة، خاصة تلك التي تحدث في أوقات غير معتادة أو من أجهزة لا تتوافق مع بنية البيئة التقنية للمنشأة.
