إصلاح نصيحة الأمان Catalyst SD-WAN - مايو 2026

المقدمة

يوضح هذا المستند الخطوات الرامية إلى تحديد مواطن الضعف الأمنية الحيوية وإصلاحها في شبكة SD-WAN استنادا إلى إرشادات PSIRT المؤرخة في 14 مايو 2026.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• بنية Cisco Catalyst SD-WAN ومكونات التحكم (vManage و vSmart و vBond)
• إجراء ترقية Cisco Catalyst SD-WAN
• إدارة حالة Cisco TAC وإجراءات تجميع admin-tech

المكونات المستخدمة

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

للحصول على معلومات أساسية مفصلة وآخر التحديثات، يرجى الرجوع إلى الصفحة الاستشارية الرسمية ل PSIRT.

تتوفر هذه المستشارين في هذه الارتباطات:

• إمكانية تجاوز مصادقة وحدة تحكم SD-WAN من Cisco Catalyst
• مكامن الضعف Cisco Catalyst SD-WAN

ويتم معالجة هذه العيوب بواسطة إرشادات PSIRT التالية:

• معرف تصحيح الأخطاء من Cisco CSCwt50498
• معرف تصحيح الأخطاء من Cisco CSCwt38739
• معرف تصحيح الأخطاء من Cisco CSCwt38767
• معرف تصحيح الأخطاء من Cisco CSCwt5544

---

نظرة عامة على سير عمل الإصلاح

الإجراء المطلوب: قم بتجميع admin-techs والترقية إلى إصدار ثابت، ثم افتح حالة Cisco TAC حتى يمكن TAC مسح المطلعين على admin-techs بحثا عن مؤشرات التسوية.

TAC متوفر ل:

• فحص Admin-techs التي توفرها لمؤشرات التسوية
• قم بتوفير دعم الترقية إذا واجهت مشاكل أثناء الترقية
• إرشادك خلال عملية إصلاح إضافية في حالة تحديد مؤشرات للتسوية

1. تجميع Admin-Techs - قم بتشغيل admin-tech على جميع مكونات التحكم (vSmart و vManage و vBond) قبل الترقية للتأكد من عدم فقدان بيانات التشخيص. حدد خيارات "سجل" و Tech.  Core غير مطلوب.
   

   تحذير: يجب ألا يتم تشغيل تقنية vSmart admin في نفس الوقت، بل يجب تشغيلها مرة واحدة في كل مرة. ويمكن جمع كل الملفات الأخرى بأي ترتيب

2. الترقية إلى إصدار ثابت - ترقية جميع مكونات التحكم في شبكة WAN الخاصة ببرنامج SD (vManage و vSmart و vBond) إلى إصدار برنامج ثابت مدرج في جدول إصدارات البرامج الثابتة.
   

   ملاحظة: لا تنتظر نتائج مسح TAC قبل الترقية. الترقية إلى إصدار ثابت هي الأولوية العليا وتغلق قابلية التأثر.  يحدد مسح TAC في الخطوة 3 ما إذا كان هناك حاجة إلى أي إجراء إضافي بعد الترقية.

3. افتح حالة مركز المساعدة الفنية وقم بتحميل admin-الفنيين لإجراء الفحص بحثا عن مؤشرات الحل الوسط - افتح حالة Cisco TAC وتحميل جميع مجموعات السجلات الإدارية-الفنية التي تم تجميعها في الخطوة 1. يقوم TAC بفحص admin-الفنية بحثا عن مؤشرات الحل الوسط.
4. إذا تم تحديد التوافق، اتبع إرشادات TAC - إذا حدد TAC مؤشرات التوافق في بيئتك، قم بإكمال جميع إرشادات الإصلاح التي تقدمها TAC. وإذا لم يعثر على أي مؤشرات توفيقية، لا يلزم إتخاذ مزيد من الإجراءات بعد الترقية.

الخطوة 1: تجميع ملفات Admin-tech من جميع مكونات التحكم

مطلوب: قم بتجميع ملفات admin-tech من جميع مكونات التحكم قبل الترقية لضمان عدم فقدان بيانات تشخيصية. يتم إستخدام هذه الملفات من قبل TAC في الخطوة 3 لمسح البيئة الخاصة بك بحثا عن مؤشرات التسوية.

المجموعة:

1. تشغيل Admin-tech على كافة وحدات التحكم (vSmart) - لا تقم بتشغيل هذه الوحدات في نفس الوقت؛ جمع واحد في كل مرة
2. تشغيل Admin-tech على كافة المدراء (vManage)
3. تشغيل Admin-tech على كافة عوامل التحقق من الصحة (vBonds)

تجميع تقنية Admin في بيئة SD-WAN وتحميل إلى حالة TAC

البديل: التحقق اليدوي (فقط في حالة تعذر تجميع admin-tech)

بالنسبة لهؤلاء الذين لا يمكنهم مشاركة ملفات admin-tech، تتوفر خطوات التحقق اليدوي. توفر هذه الخطوات مؤشرات أولية يجب توثيقها ومشاركتها مع TAC.

راجع قسم "خطوات التحقق اليدوي" في نهاية هذا المستند للاطلاع على الإجراءات التفصيلية. قم بتوثيق جميع النتائج وقدمها إلى TAC في حالة الدعم الخاصة بك.

الخطوة 2: الترقية إلى إصدار برنامج ثابت

بعد تجميع الفنيين المسؤولين في الخطوة 1، قم بترقية جميع مكونات التحكم في شبكة WAN الخاصة بتقنية SD (vManage و vSmart و vBond) إلى إصدار برنامج ثابت.

حدد الإصدار المناسب من جدول إصدارات البرامج الثابتة في هذا المستند.

ترقية وحدات التحكم في SD-WAN باستخدام واجهة المستخدم الرسومية (GUI) vManage أو واجهة سطر الأوامر (CLI)

الخطوة 3: فتح حالة مركز المساعدة الفنية وتحميل ملفات admin-tech للمسح الضوئي

بعد الترقية في الخطوة 2، افتح حالة دعم Cisco TAC وقم بتحميل ملفات admin-tech التي تم تجميعها في الخطوة 1. يقوم TAC بفحص admin-techs بحثا عن مؤشرات التسوية.

الإجراءات المطلوبة:

1. افتح حالة مركز المساعدة الفنية (TAC) ذات مستوى الخطورة 3 مع "CVE-2026-20182" ومعرف PSIRT ذي الصلة في العنوان لبدء عملية المسح الضوئي.
2. تحميل جميع مجموعات السجلات الفنية للمسؤول التي تم تجميعها في الخطوة 1 (وحدات التحكم والمديرين والمحققين من الصحة)
3. انتظار TAC لإكمال المسح الضوئي وإرسال النتائج

الخطوة 4: إذا تم تحديد حل وسط — اتبع إرشادات TAC

إذا حدد TAC مؤشرات التوافق في بيئتك، يتصل TAC بك بإرشادات إصلاح محددة. قم بإكمال جميع التعليمات المقدمة من قبل TAC.

إذا لم يتم تحديد أي مؤشرات توفيقية، تكون الترقية التي تم إتمامها في الخطوة 2 كافية ولا يلزم إجراء أي إصلاح آخر.

إصدارات البرامج الثابتة

تحتوي إصدارات البرامج هذه على حلول للمكامن الضعف المحددة:

ينطبق على الإصدارات الحالية	الإصدار الثابت	البرامج المتوفرة
20.3 و 20.6 و 20.9	20.9.9.1	20.9.9.1 صور الترقية ل vManage و vSmart و vBond
20.10 و 20.11 و 20.12.5 وما قبله في 20.12	20.12.5.4	20.12.5.4 صور ترقية ل vManage و vSmart و vBond
20٫12٫6٫x	20.12.6.2	20.12.6.2 صور الترقية ل vManage و vSmart و vBond
20.12.7	20.12.7.1	20.12.7.1 صور الترقية ل vManage و vSmart و vBond
20.13 و 20.14 و 20.15.4.3 وما قبله في 20.15	20.15.4.4	20.15.4.4 صور الترقية ل vManage و vSmart و vBond
20٫15٫5.x	20.15.5.2	20.15.5.2 صور الترقية ل vManage و vSmart و vBond
20.16 و 20.17 و 20.18.x	20.18.2.2	20.18.2.2 صور الترقية ل vManage و vSmart و vBond

مراجع مهمة:

• مصفوفة الترقية
• مصفوفة توافق وحدة التحكم

---

الملحق: خطوات التحقق اليدوي (فقط في حالة عدم إمكانية تجميع admin-tech)

المتطلبات: يجب تنفيذ هذه الخطوات على جميع مكونات التحكم.

التحقق 1: التحقق من تسجيل دخول SSH غير المصرح به في سجلات المصادقة

الخطوة 1: تحديد عناوين IP الصحيحة لنظام vManage

الوصول إلى كل وحدة تحكم vSmart والتنفيذ:

west-vsmart# show control connections | inc "vmanage|PEER|IP"

مثال الإخراج:

                                                    PEER                                                                                    PEER
      PEER  PEER  PEER            SITE       DOMAIN  PRIV    PEER                              PUB     PEER
INDEX TYPE  PROT  SYSTEM IP       ID         ID      PRIVATE IP                        PORT    PUBLIC IP                         PORT    ORGANIZATION        REMOTE COLOR  STATE  UPTIME
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0     vmanage dtls 10.1.0.18     101018     0       10.1.10.18                        12346   10.1.10.18                        12346   calo-auto-lab       default       up     5:17:27:22

الخطوة 2: إنشاء سلسلة تعبير نمطية (vBond و vSmart فقط)

دمج جميع عناوين IP الخاصة بالنظام من الخطوة 1 إلى نمط OR regex:

system-ip1|system-ip2|...|system-ipn

الخطوة 2 ب: خطوة إضافية لأنظمة vManage

إذا كنت تقوم بتشغيل هذه الأوامر على vManage نفسه، فقم بإلحاق عنوان IP الخاص بالمضيف المحلي (127.0.0.1) وبروتوكول IP الخاص بالنظام المحلي وجميع عناوين IP الخاصة بالمجموعات وواجهة نقل VPN 0 إلى المحول:

system-ip1|system-ip2|...|system-ipn|127.0.0.1|

للعثور على IP المحلي لنظام vManage، أستخدم:

show control local-properties

للعثور على IP لواجهة النقل VPN 0 و IP لنظام المجموعة، أستخدم:

show interface | tab

الخطوة 3: تنفيذ أمر التحقق

ركضت هذا أمر، يستبدل REGEX مع regex خيط من خطوة 2:

west-vsmart# vs
west-vsmart:~$ zgrep "Accepted publickey for vmanage-admin from " /var/log/auth.log* | grep -vE "\s(REGEX)\s"

الخطوة 4: ترجمة النتائج والمستند ل TAC

إذا لم يتم عرض أي مخرجات:

• لم يتم الكشف عن أي مؤشرات للتوافق على هذا الجهاز
• توثيق هذه النتيجة لحالة TAC الخاصة بك
• مواصلة تقييم وحدات التحكم المتبقية

إذا تم طباعة بنود السجل:

• تحقق بعناية من كل عنوان IP ظاهر
• تحقق من عدم إرتباط IP بالبنية الأساسية vManage (عنوان IP لنظام المجموعة أو بروتوكول IP لنظام قديم أو ما شابه)
• إذا لم تتمكن من تعريف IP المصدر على أنه شرعي، فيمكن أن يشير ذلك إلى المؤشرات المحتملة للتسوية
• يعرض إدخال السجل الطابع الزمني وعنوان IP للمصدر
• توثيق جميع النتائج وفتح حالة مركز المساعدة الفنية على الفور
• تضمين إدخالات السجل، والأختام الزمنية، و IPs المصدر في حالتك
• يقوم TAC بتحديد التقييم الرسمي

التحقق 2: التحقق من إتصالات النظير غير المصرح بها في وحدات التحكم syslog

يستخرج هذا الأمر جميع أزواج نوع النظير ونظام IP من ملفات syslog لوحدة التحكم ويخرجهم كقائمة لك لمراجعتها. وهو لا يقوم تلقائيا بتمييز الإدخالات المشبوهة — يجب عليك فحص الإخراج وتحديد ما إذا كان كل عنوان IP لنظام النظير هو جزء معروف وشرعي من بنية SD-WAN الأساسية لديك. قم بتشغيل هذا على كافة مكونات عنصر التحكم (وحدات التحكم والمديرين وأجهزة التحقق من الصحة).

الخطوة 1: قم بتشغيل الأمر على كل مكون تحكم:

قم أولا بالوصول إلى vshell وانتقل إلى دليل السجل:

vs
cd /var/log

بعد ذلك، قم بتشغيل هذا الأمر للبحث في غلاب ملف vsyslog*:

awk '{
  match($0, /peer-type:([a-zA-Z0-9]+)[^ ]* peer-system-ip:([0-9.:]+)/, arr);
  if(arr[1] && arr[2]) print "(" arr[1] ", " arr[2] ")";
}' vsyslog* | sort | uniq

كرر هذا مع الرسائل* ملف لامع وكذلك ملف vdebug*.

الخطوة 2: ترجمة النتائج والمستند ل TAC

إذا كانت المخرجات تعرض فقط عناوين IP المعروفة لنظام vManage/vSmart/vBond:

• لم يتم الكشف عن أي مؤشرات للتسوية من هذا التحقق
• توثيق هذه النتيجة لحالة TAC الخاصة بك
• مواصلة تقييم مكونات الرقابة المتبقية

إذا احتوى الإخراج على عناوين IP لنظام نظير غير متعرف عليها:

• تحقق بعناية من كل عنوان IP ونوع نظير معروض
• تحقق من عدم إرتباط IP بالبنية الأساسية المعروفة لمستوى التحكم في SD-WAN
• إذا لم تتمكن من تعريف IP المصدر على أنه شرعي، فيمكن أن يشير ذلك إلى المؤشرات المحتملة للتسوية
• توثيق جميع النتائج وفتح حالة مركز المساعدة الفنية على الفور
• تضمين إخراج الأمر بالكامل مع أزواج نظام النظير و بروتوكول الإنترنت في حالتك
• يقوم TAC بتحديد التقييم الرسمي

التحقق 3: التحقق من عدم وجود قائمة التحدي في إتصالات عنصر التحكم النشط

يقوم هذا الفحص بفحص إخراج تفاصيل إتصالات التحكم لجلسات عمل الأقران التي تم الإبلاغ عنها كنشطة (أو التي تم التخلص منها مؤخرا) ولكنها تفتقد تبادل مساحة التحدي المتوقع. جلسة تبادل الترحيب بالحزم في كلا الاتجاهين أثناء إظهار إجابة التحدي 0 في إما إحصائيات Tx أو Rx تشير إلى أن النظير لم يكمل قط مصافحة التحدي المتوقعة - وهو أمر شاذ يستدعي التحقيق. قم بتشغيل هذا على كافة مكونات عنصر التحكم (وحدات التحكم والمديرين وأجهزة التحقق من الصحة).

الخطوة 1: تجميع إخراج تفاصيل إتصالات التحكم

من واجهة سطر الأوامر (CLI) الخاصة بالجهاز، قم بتشغيل:

show control connections detail
show control connections-history detail

احفظ المخرجات في ملف (على سبيل المثال، vdaemon.txt) للتفتيش.

الخطوة 2: ما الذي يجب البحث عنه

لكل سجل نظير (محدد بواسطة رؤوس الألوان البعيدة / نظام-IP)، قم بوضع علامة على السجل إذا كانت جميع هذه الشروط صحيحة:

• حالة جلسة العمل قيد التشغيل أو Tear_Down
• عداد الترحيب لإحصاءات TX وعداد مرحبا بإحصاءات RX ليسا صفريين (تتدفق هويات في كلا الاتجاهين)
• إجابة التحدي هي 0 في إما إحصائيات TX أو كتلة إحصائيات Rx (أو كلاهما)

مثال لسجل متطابق (لاحظ <<<الأسهم التي تبرز مساحة التحدي المفقودة) 

------------------------------------------------------------------------------------------------
 REMOTE-COLOR- default SYSTEM-IP- 10.2.2.2   PEER-PERSONALITY- vmanage
------------------------------------------------------------------------------------------------
site-id             432567
domain-id           0
protocol            dtls
private-ip          10.0.0.1
private-port        12346
public-ip           192.168.1.1
public-port         50825
state               up [Local Err: NO_ERROR] [Remote Err: NO_ERROR]
uptime              0:00:16:58
hello interval      1000
hello tolerance     12000

  Tx Statistics-
  --------------
    hello                   3423293
    challenge               1
    challenge-response      0
    challenge-ack           0           <<<< MISSING challenge-ack (Tx)
    ...

  Rx Statistics-
  --------------
    hello                   3423291
    challenge               0
    challenge-response      1
    challenge-ack           0           <<<< MISSING challenge-ack (Rx)
    ...

في المثال أعلاه، تكون عدادات إستقبال Tx و Rx غير صفرية (اتصال نشط)، ولكن إجابة التحدي هي 0 في كلا الاتجاهين.

الخطوة 3: أمر البحث اليدوي

لعرض سجلات المرشح بسرعة من vdaemon.txt (أو أي ملف يحتوي على إخراج show control connections detail)، قم بتشغيل:

grep -A20 'SYSTEM-IP' vdaemon.txt | grep -B5 'challenge-ack  0'

تمثل كل كتلة يتم إرجاعها جلسة عمل نظير يتم فيها الإبلاغ عن وضع التحدي ك 0. راجع كل كتلة بالكامل لتأكيد الحالة up أو tear_down وأن عدادات الترحيب في كل من Tx و Rx ليست صفرا قبل معالجتها كضرب.

الخطوة 4: ترجمة النتائج والمستند ل TAC

إذا لم تتوفر أي سجلات تفي بالشروط الثلاثة جميعها:

• لم يتم الكشف عن أي مؤشرات للتسوية من هذا التحقق
• توثيق هذه النتيجة لحالة TAC الخاصة بك
• مواصلة تقييم مكونات الرقابة المتبقية

إذا استوفي سجل واحد أو أكثر الشروط الثلاثة جميعها:

• افحص بعناية قيم IP الخاصة وIP وIP العامة لكل سجل تم تمييزه
• تحقق من أن النظير ليس جزءا شرعيا معروفا من مستوى التحكم في SD-WAN (عضو المجموعة، موقع DR، عنوان IP المعين مسبقا لمكون)
• إذا لم تستطع تعريف النظير كشخص شرعي، فيمكن أن يشير ذلك إلى مؤشرات محتملة للتسوية
• توثيق جميع النتائج وفتح حالة مركز المساعدة الفنية على الفور
• تضمين سجل (سجلات) النظير المتطابقة بالكامل ومخرج الأمر المصدر في حالتك
• يقوم TAC بتحديد التقييم الرسمي

الأسئلة المتكررة

س: ما هي الخطوة الأولى لمعالجة هذه المشورة الأمنية؟

ج: تجميع ملفات admin-tech من جميع مكونات التحكم، ثم ترقية جميع مكونات التحكم إلى إصدار برنامج ثابت. بعد الترقية، افتح حالة مركز المساعدة الفنية وقم بتحميل admin-techs حتى يتمكن TAC من مسح بيئتك بحثا عن مؤشرات التسوية.

س. ما الإصدار الذي أحتاج إلى الترقية إليه؟ 

أ. يرجى الترقية إلى أقرب إصدار ثابت في أقرب وقت.

س: هل أحتاج إلى جمع الفنيين المسؤولين من جميع مكونات التحكم؟

ج: نعم، يتطلب TAC ملفات تقنية الإدارة من جميع وحدات التحكم (تقنية vSmart، التي يتم تجميعها في كل مرة)، وجميع المدراء (vManage)، وجميع أجهزة التحقق من الصحة (vBond) لتقييم بيئتك بشكل صحيح.

س: كيف يحدد TAC ما إذا كان نظامي قد تعرض للخطر؟

ج: يقوم TAC بتحليل ملفات admin-tech باستخدام أدوات متخصصة لتقييم البيئة الخاصة بك بحثا عن مؤشرات للتسوية.

س: هل هناك طريقة يمكنني بها القيام بالمسح التلقائي الخاص بي باستخدام أدوات TAC؟

ج: قد يستخدم العملاء أيضا أداة الخدمة الذاتية "التحقق من تطبيق الأخطاء" المدمجة في صفحة أداة البحث عن الأخطاء ل Cisco CSCwt50498 لإعادة ضبط Admin-Techs من مكونات التحكم.

س: ماذا يحدث إذا جرى تحديد مؤشرات للتسوية؟

ج: يتصل TAC بك لمناقشة الخطوات والإرشادات التالية الخاصة ببيئتك. لا تقوم Cisco بإجراء الإصلاح بالنيابة عنك — يوفر TAC التوجيه اللازم لك للمتابعة.

س: كيف يمكنني معرفة أي إصدار من البرامج الثابتة يمكن إستخدامه؟

ج: ارجع إلى جدول إصدارات البرامج الثابتة في هذا المستند. يؤكد TAC الإصدار المناسب لبيئتك الخاصة.

س: هل يمكنني بدء الترقية قبل قيام TAC بتحليل Admin-Techs؟

ج: نعم. قم بتجميع admin-techs والترقية إلى إصدار ثابت، ثم افتح حالة مركز المساعدة الفنية حتى يمكن ل TAC مسح Admin-Techs بحثا عن مؤشرات التسوية.

س: هل من المتوقع حدوث وقت التوقف عن العمل أثناء الإصلاح؟

ج: يعتمد التأثير على بنية النشر ومسار الإصلاح. يوفر TAC إرشادات حول تقليل تأثير الخدمة أثناء العملية إلى الحد الأدنى.

س: هل يلزم ترقية جميع وحدات التحكم في حالة عدم العثور على مؤشرات توفيقية؟

ج: نعم، يجب ترقية جميع مكونات التحكم في شبكة SD-WAN (vManage و vSmart و vBond) إلى إصدار برنامج ثابت. لا تكفي ترقية مجموعة فرعية من وحدات التحكم فقط.

س: لدي تغشية على شبكة SD-WAN مستضافة بواسطة السحابة. ما هي خياراتي للترقية؟

ج: بالنسبة للتغشيات التي تستضيفها السحابة، يتوفر للعملاء خياران:

1. تحقق مما إذا كانت البيئة الخاصة بك مجدولة لإجراء ترقية مؤتمتة عن طريق الانتقال إلى SSP > تفاصيل التغشية > تغيير Windows.
2. إذا كنت لا تريد انتظار الترقية المجدولة، فلديك خياران:
   • قم بالترقية بنفسك باستخدام أدلة الترقية المتوفرة في هذا المستند.

   • فتح حالة مركز المساعدة الفنية (TAC) الاحتياطي لنافذة الصيانة المفضلة لديك. يتوفر TAC لمساعدتك إذا واجهت صعوبات في الترقية.

س: هل نحن بحاجة إلى ترقية الموجهات الطرفية أيضا؟

ج: لا، لا تتأثر أجهزة Cisco IOS XE بهذه المشورة.

س: نحن تغشية مستضافة من Cisco. هل نحن بحاجة إلى إصلاح أي قوائم تحكم في الوصول (ACL) أو إتخاذ إجراء حول بروتوكول SSP؟

ج: ينصح جميع العملاء الذين تستضيفهم Cisco بمراجعة القواعد الواردة المسموح بها الخاصة بهم والتي تتم مراجعتها على SSP وضمان السماح بالبادئات الضرورية فقط من جانبك. هذه القواعد خاصة بالوصول إلى الإدارة فقط ولا تنطبق هذه القواعد على الموجهات الطرفية. الرجاء مراجعتها في SSP > تفاصيل التغشية > السماح بالقواعد الواردة. يرجى ملاحظة أن المنفذ 22، 830 تم حظره دائما بشكل افتراضي في اليوم 0 الذي تقوم فيه Cisco بالإمداد من الخارج إلى وحدات التحكم المستضافة على السحابة.

س: نحن على سحابة SD-WAN ( المعروفة سابقا باسم السحابة التي تم تسليم Cisco Catalyst SD-WAN [CDCS] ). ما الإصدار الذي ستتم ترقيتنا إليه؟ 

ج: استنادا إلى الإصدار الحالي، توجد حاليا مجموعات سحابة SD-WAN في جدول زمني لترقيتها أو ترقيتها بالفعل إلى الإصدارات الثابتة. هنا ال SD-WAN سحابة (سابقا CDCS) ثابت إطلاق:

1. مجموعات المتبنين الأوائل = 20.18.2.2 (وهذا هو في الواقع نفس الإصدار القياسي)

2. توصي بتكتلات الإصدار = 20.15.506 (إصدار CDCS المحدد مع إصلاحات PSIRT)

لا يحتاج عملاء سحابة SD-WAN إلى إتخاذ أي إجراء بشكل فعال لمعالجة هذه المشكلة.

س: نحن على مستأجر مشترك. ما الإصدار الذي ستتم ترقيتنا إليه؟ 

ج: استنادا إلى الإصدار الحالي، يوجد المستأجر المشترك حاليا في جدول زمني ليتم ترقيته أو ترقيته بالفعل إلى الإصدارات الثابتة. هنا الإصدار الثابت للمستأجر المشترك:

1. يوصي بإطلاق المجموعات = 20.15.5.2

س: هل يوفر Cisco TAC خدمات تحليل الطب الشرعي أو التحقيقات الخاصة بنقاط الضعف هذه؟

ج: يمكن أن يساعد Cisco TAC العملاء من خلال المسح بحثا عن مؤشرات الحلول الوسط (IoCS) المتعلقة بنقاط الضعف هذه. غير أن مركز المساعدة الفنية لا يجري تحليلا معمقا للطب الشرعي أو تحقيقات في الحوادث. للقيام بأعمال الطب الشرعي الشاملة أو التحقيقات الأمنية التفصيلية، نوصي العملاء بتوظيف شركة إستجابة الحوادث (IR) المفضلة لديهم التابعة لجهة خارجية.

س: ما هي أفضل الممارسات أو الطرق العامة للحد من مواطن الضعف لشبكات SD-WAN؟

ج: ارجع إلى دليل تقوية Cisco Catalyst SD-WAN للحصول على أفضل الممارسات والتوصيات لتقليل نقاط الضعف في تغشية SD-WAN لديك.

س: نشاهد سجلات مستخدم "جذري" على نظامنا.  هل هذا يقلق؟ 

ج: تحقق من أي شيء آخر يحدث في النظام في ذلك الوقت.   يمكن توقع هذه السجلات بشكل كامل.  على سبيل المثال، يتم عرض سجلات تغيير تسجيل دخول النظام من مستخدم "جذر" عند إنشاء تقنيات مسؤول.  كما يمكن مشاهدة السجلات من مستخدم "جذر" أثناء إعادة التشغيل.  

Feb 28 23:03:44 Manager01 SYSMGR[863]: %Viptela-Manager01-sysmgrd-6-INFO-1400002: Notification: system-login-change severity-level:minor host-name:"Manager01" system-ip: user-name:"root" user-id:245  generated-at:2-28-2026T23:3:44
Feb 28 23:03:47 Manager01 SYSMGR[863]: %Viptela-Manager01-sysmgrd-6-INFO-1400002: Notification: system-login-change severity-level:minor host-name:"Manager01" system-ip: user-name:"root" user-id:248  generated-at:2-28-2026T23:3:47