Remediate Catalyst SD-WAN Security Advisory - februari 2026
Inleiding
Dit document beschrijft stappen om kritieke beveiligingslekken in SD-WAN te identificeren en op te lossen op basis van PSIRT-adviezen van 25 februari 2026.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Catalyst SD-WAN-architectuur en besturingscomponenten (vManage, vSmart, vBond)
- Cisco Catalyst SD-WAN-upgradeprocedure
- Cisco TAC-casemanagement en procedures voor het verzamelen van beheerderstechnologie
Gebruikte componenten
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Voor gedetailleerde achtergrondinformatie en de laatste updates, raadpleegt u de officiële PSIRT-adviespagina.
Deze adviezen zijn beschikbaar via deze links:
- Cisco Catalyst SD-WAN-kwetsbaarheden
- Cisco Catalyst SD-WAN-controllerverificatie omzeilt kwetsbaarheid
Deze gebreken worden behandeld door deze PSIRT-adviezen:
- Cisco bug ID CSCws52722
- Cisco bug ID CSCws33583
- Cisco bug ID CSCws33584
- Cisco bug ID CSCws33585
- Cisco bug ID CSCws33586
- Cisco bug ID CSCws33587
- Cisco bug ID CSCws93470
Overzicht van de werkstroom voor probleemoplossing
Opmerking: alle SD-WAN-implementaties zijn kwetsbaar en vereisen onmiddellijke actie. Niet alle systemen vertonen echter tekenen van compromis.
Vereiste actie: Open een Cisco TAC-case om dit beveiligingsadvies aan te pakken.
De TAC is beschikbaar voor:
- Beoordeel uw omgeving op indicatoren van compromis
- Begeleid u door het juiste herstelpad op basis van de beoordeling
- Werk samen met het PSIRT-team als er compromisindicatoren worden vastgesteld
- Upgradebegeleiding en -ondersteuning bieden als er geen compromisindicatoren worden gedetecteerd
- Verzamel Admin-Techs - Voer admin-tech uit op alle besturingscomponenten (vSmart, vManage, vBond). vSmart-beheertechnologieën mogen niet gelijktijdig worden uitgevoerd — voer ze één voor één uit. Alle andere kunnen in elke volgorde worden verzameld. Selecteer Logboekopties en Technische opties. De kern is niet nodig.
- Open TAC Case - Neem contact op met Cisco TAC en zorg voor alle logbundels van Control Component Admin-tech
- TAC-beoordeling - TAC beoordeelt uw omgeving voor compromisindicatoren
- Herstel uitvoeren - Voltooi het specifieke proces dat door TAC wordt geboden
Stap 1: Verzamel Admin-Tech-bestanden van alle besturingscomponenten
Vereist: verzamel admin-tech bestanden van alle besturingscomponenten voordat u uw TAC-case opent. Dit is essentieel voor TAC om uw omgeving te beoordelen.
Verzameling:
Opmerking: Selecteer Logboekopties en technische opties voor het genereren van beheerderstechnologie. De kern is niet nodig.
- Voer admin-tech uit op ALLE controllers (vSmarts) - voer deze niet tegelijkertijd uit; verzamel er één tegelijk
- Voer admin-tech uit op ALLE managers (vManages)
- Voer admin-tech uit op ALLE validators (vBonds)
Opmerking: vSmart admin-techs mogen niet gelijktijdig worden uitgevoerd — verzamel ze één voor één. Admin-techs voor Managers en Validators kunnen in elke volgorde worden verzameld.
Verzamel een Admin-Tech in SD-WAN-omgeving en upload naar TAC Case
Opmerking: TAC analyseert deze bestanden om uw omgeving te beoordelen op compromisindicatoren en het juiste herstelpad te begeleiden.
Alternatief: Handmatige verificatie (alleen als Admin-Tech niet kan worden verzameld)
Voor degenen die geen admin-tech-bestanden kunnen delen, zijn handmatige verificatiestappen beschikbaar. Deze stappen bieden voorlopige indicatoren die moeten worden gedocumenteerd en gedeeld met de TAC.
Zie de sectie "Handmatige verificatiestappen" aan het einde van dit document voor gedetailleerde procedures. Documenteer alle bevindingen en geef ze aan TAC in uw ondersteuningsgeval.
Stap 2: Open een TAC Case en upload Admin-Tech Files
Nadat u alle admin-tech-bestanden van stap 1 hebt verzameld, opent u een ondersteuningscase voor Cisco TAC.
Vereiste acties:
- Open een TAC-geval met een prioriteitsniveau dat geschikt is voor uw zakelijke impact
- Upload ALLE logboekbundels voor beheerderstechnologie die in stap 1 zijn verzameld (controllers, beheerders en validators)
- Raadpleeg de PSIRT-adviezen
- Wachten op TAC-beoordeling en -richtsnoeren
Let op: TAC bepaalt de status van uw systeem en beveelt passende volgende stappen aan.
Probeer geen verdere stappen zonder TAC-richtsnoeren
Stap 3: TAC-beoordeling
TAC analyseert de geüploade admin-tech bestanden en bepaalt de status van uw systeem.
Gedurende deze tijd:
- Wacht op een officiële beoordeling van de TAC voordat u actie onderneemt
- TAC neemt contact met u op met hun bevindingen en volgende stappen
Stap 4: Remediation uitvoeren (TAC-geleid)
TAC begeleidt u door het juiste herstelproces op basis van hun beoordeling. Vul alle instructies in die door TAC worden verstrekt.
Pad A: geen compromisindicatoren gevonden — upgrade
Als TAC bevestigt dat er geen bewijs is van een compromis, upgrade dan naar de vaste softwareversie. Selecteer de juiste versie in de tabel Vaste softwareversies in dit document en raadpleeg de upgradehandleiding die in deze sectie is gekoppeld.
Waarschuwing: de upgrade moet binnen de huidige hoofdrelease blijven. Niet upgraden naar een hogere belangrijke release zonder expliciete TAC-richtlijnen.
Upgrade SD-WAN-controllers met behulp van vManage GUI of CLI
Pad B: geïdentificeerde compromisindicatoren — PSIRT-geleid
Indien TAC's bevestigen dat er compromisindicatoren aanwezig zijn, alle door TAC's verstrekte richtsnoeren aanvullen.
Vaste softwareversies
Deze softwarereleases bevatten oplossingen voor de geïdentificeerde kwetsbaarheden:
| Geldt voor huidige versies | Vaste versie | Beschikbare software |
|---|---|---|
| 20,3, 20,6, 20,9 | 20.9.8.2 * | 20.9.8.2 Upgrade-images voor vManage, vSmart en vBond |
| 20 .10, 20 .11, 20.12.5 en eerder in 30 .12 | 20.12.5.3 | 20.12.5.3 Upgrade-images voor vManage, vSmart en vBond |
| 20.12.6 | 20.12.6.1 | 20.12.6.1 Upgrade-images voor vManage, vSmart en vBond |
| 20,13, 20,14, 20,15,x | 20.15.4.2 | 20.15.4.2 Upgrade-images voor vManage, vSmart en vBond |
| 20,16, 20,17, 20,18,x | 20.18.2.1 | 20.18.2.1 Upgrade-images voor vManage, vSmart en vBond |
Opmerking: voor klanten op CDCS (Cisco-Hosted Cluster) is 20.15.405 ook een vaste release. Dit is specifiek van toepassing op de door Cisco gehoste clusterimplementatie en wordt afzonderlijk van het standaard upgradepad behandeld.
* Als u op release 20.9 of eerder: De vaste software voor uw release (20.9.8.2) is beschikbaar op 2/27. Cisco raadt aan om binnen uw huidige hoofdrelease te blijven en te wachten op de 20.9.8.2-release in plaats van te upgraden naar een hogere hoofdrelease (20 .12, 20.15, 20.18). Als u momenteel in een versie lager dan 20.9 bent, wacht dan tot 20.9.8.2 om daar te upgraden. Blijf werken met TAC en controleer 2/27 voor de beschikbare softwarelink.
Belangrijke referenties:
Bijlage: Handmatige verificatiestappen (alleen als Admin-Tech Collection niet mogelijk is)
Opmerking: Admin-tech-verzameling is de voorkeursmethode en aanbevolen methode. Gebruik alleen handmatige verificatie als u absoluut geen admin-tech-bestanden kunt verzamelen en delen. Als u geen admin-tech-bestanden kunt verzamelen, gebruikt u deze handmatige stappen om voorlopige indicatoren voor TAC te verzamelen.
Opmerking:
- Deze stappen leveren alleen voorlopige gegevens op
- Admin-tech-verzameling heeft sterk de voorkeur voor nauwkeurige beoordeling
- Documenteer uw bevindingen en deel ze met TAC in uw ondersteuningsgeval
- TAC bepaalt de officiële beoordeling
Vereisten: Deze stappen moeten worden uitgevoerd op alle besturingscomponenten.
Verificatie 1: controleren op ongeautoriseerde SSH-aanmeldingen in Auth-logboeken
Stap 1: Identificeer geldige vManage-systeem-IP's
Toegang tot elke vSmart-controller en uitvoering:
west-vsmart# show control connections | inc "vmanage|PEER|IP"
Voorbeeld van uitvoer:
PEER PEER
PEER PEER PEER SITE DOMAIN PRIV PEER PUB PEER
INDEX TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT ORGANIZATION REMOTE COLOR STATE UPTIME
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vmanage dtls 10.1.0.18 101018 0 10.1.10.18 12346 10.1.10.18 12346 calo-auto-lab default up 5:17:27:22
Stap 2: Reguliere expressiereeks maken (alleen vBond en vSmart)
Combineer alle systeem-IP's van stap 1 in een OR-regex-patroon:
system-ip1|system-ip2|...|system-ipn
Stap 2b: Extra stap voor vManage-systemen
Als u deze opdrachten op vManage zelf uitvoert, voegt u de IP van de localhost (127.0.0.1), de IP van het lokale systeem, alle cluster-IP's en de IP van de VPN 0-transportinterface toe aan de regex:
system-ip1|system-ip2|...|system-ipn|127.0.0.1|
Als u het lokale IP-adres van het vManage-systeem wilt vinden, gebruikt u:
show control local-properties
Om de VPN 0-transportinterface IP en cluster IP te vinden, gebruikt u:
show interface | tab
Stap 3: Verificatie uitvoeren, opdracht
Voer deze opdracht uit en vervang REGEX door uw regex-tekenreeks uit stap 2:
west-vsmart# vs
west-vsmart:~$ zgrep "Accepted publickey for vmanage-admin from " /var/log/auth.log* | grep -vE "\s(REGEX)\s"
Opmerking: met deze opdracht worden verificatielogboeken gefilterd zodat alleen aanmeldingen van vmanage-admin uit onverwachte bronnen worden weergegeven. Legitieme aanmeldingen mogen alleen afkomstig zijn van aan vManage gerelateerde IP's.
Stap 4: Resultaten en document voor TAC interpreteren
Als GEEN uitvoer wordt weergegeven:
- Er zijn geen compromisindicatoren gedetecteerd op dit apparaat
- Documenteer dit resultaat voor uw TAC-geval
- Doorgaan met beoordeling van resterende controllers
Als logboeklijnen worden afgedrukt:
- Controleer zorgvuldig elk weergegeven IP-adres
- Controleer of het IP-adres niet gerelateerd is aan de vManage-infrastructuur (cluster-IP, oude systeem-IP of vergelijkbaar)
- Als u de bron-IP niet als legitiem kunt identificeren, kan dit wijzen op potentiële indicatoren van compromis
- De logboekvermelding toont een tijdstempel en een bron-IP-adres
- Documenteer alle bevindingen en open onmiddellijk een TAC-zaak
- Voeg de logboekvermeldingen, tijdstempels en bron-IP's in uw geval toe
- TAC voert de officiële beoordelingsbepaling uit
Verificatie 2: Controleren op ongeautoriseerde peer-verbindingen in controllersystemen
Deze opdracht extraheert alle peer-type en peer-systeem-ip-paren van controller syslog-bestanden en voert ze uit als een lijst die u kunt bekijken. Het markeert niet automatisch verdachte vermeldingen - u moet de uitvoer inspecteren en bepalen of elk peer-IP-systeem een bekend, legitiem onderdeel van uw SD-WAN-infrastructuur is. Voer dit uit op alle besturingscomponenten (controllers, beheerders en validators).
Stap 1: Voer de opdracht uit op elke besturingscomponent:
Ga eerst naar vshell en navigeer naar de logdirectory:
vs
cd /var/logVoer vervolgens de volgende opdracht uit:
awk '{
match($0, /peer-type:([a-zA-Z0-9]+)[^ ]* peer-system-ip:([0-9.:]+)/, arr);
if(arr[1] && arr[2]) print "(" arr[1] ", " arr[2] ")";
}' vsyslog* | sort | uniqStap 2: Interpreteren van resultaten en documenten voor TAC
Als uit de uitvoer alleen bekende IP's van het vManage/vSmart/vBond-systeem worden weergegeven:
- Bij deze controle werden geen compromisindicatoren ontdekt
- Documenteer dit resultaat voor uw TAC-geval
- Doorgaan met de beoordeling van resterende besturingscomponenten
Als uitvoer niet-herkende IP's van het peer-systeem bevat:
- Bekijk zorgvuldig elk IP-adres en peer-type dat wordt weergegeven
- Controleer of het IP-adres niet gerelateerd is aan uw bekende SD-WAN-besturingsvliegtuiginfrastructuur
- Als u de bron-IP niet als legitiem kunt identificeren, kan dit wijzen op potentiële indicatoren van compromis
- Documenteer alle bevindingen en open onmiddellijk een TAC-zaak
- Neem de volledige opdrachtuitvoer op met peer-type en peer-systeem-ip-paren in uw geval
- TAC voert de officiële beoordelingsbepaling uit
Verificatie 3: DCA-bestand gelezen
Stap 1: Waar moet je op letten
Logbestand: /var/log/nms/containers/service-proxy/serviceproxy-access.log
Voorbeeld logregel:
[2026-03-04T01:45:06.239Z] "GET /reports/data/opt/data/containers/config/data-collection-agent/.dca HTTP/1.1" 200 - 0 32 1 - "" "python-requests/2.32.5" "ae076862-2244-45a6-844f-bc2af970e570" "192.168.2.3" "127.0.0.1:8080" Opmerking: IOC3 gebruikt geen HTTP-statuscode als gating-voorwaarde. Elke traversale poging wordt geregistreerd. De statuscode is nog steeds relevant voor de interpretatie door analisten (HTTP 200 geeft bijvoorbeeld aan dat het bestand succesvol is gelezen), maar niet-200-reacties blijven explosieve pogingen en moeten worden beoordeeld.
Stap 2: Handmatig zoeken, opdracht
Vanuit Terminal — zoeken binnen geëxtraheerde admin-tech bundel:
zgrep -r "data-collection-agent/.dca" var/log/nms/containers/service-proxy/serviceproxy-access.log*
Opmerking: legitieme DCA-administratie kan de .dca-URI van bekende IP-adressen van beheerders bevatten. Valideer bron-IP-adressen altijd met bekende beheerdersbronnen voordat u doorgaat. Behandel een niet-herkende bron-IP voor elk subtype als verdacht.
Verificatie 4: pad overschrijven / willekeurig bestand overschrijven
Opmerking: IOC4 is alleen van toepassing op vManage-apparaten. Elke SmartLicensingManager-logboekvermelding die een bestand schrijft via ../traversal wordt gemarkeerd, ongeacht de uitkomst. Als de schrijfinvoer in het logboek bestaat, heeft het schrijven plaatsgevonden.
Stap 1: Waar moet je op letten
Logbestand: /var/log/nms/vmanage-server.log
Voorbeeld logregels:
06-Mar-2026 02:16:34,029 UTC INFO [285fcdc0-30fa-4ca0-8e06-6953a095a59a] [LAB-TEST-1] [SmartLicensingManager] (default task-11229) |57501bad-32a7-4f52-8f54-8547dcd7403e| Time taken to write file ../../../../../../../../../../../var/lib/wildfly/standalone/deployments/cmd.gz.war = 2 ms to directory /opt/data/app-server/software/package/license/ack
04-Mar-2026 15:40:02,683 IST INFO [ca0e641b-acc7-42a6-b39b-bf3d28be0bcb] [LAB-TEST-1] [SmartLicensingManager] (default task-1235) |default| Time taken to write file ../../../../../../../../../../../var/lib/wildfly/standalone/deployments/sysv.gz.war = 0 ms to directory /opt/data/app-server/software/package/license/ack
27-Feb-2026 08:49:27,169 IST INFO [d9976a9d-071e-4e07-a3ef-4e90019cae12] [LAB-TEST-1] [SmartLicensingManager] (default task-809) |default| Time taken to write file ../../../../../../../../../../../var/lib/wildfly/standalone/deployments/authscp.gz.war = 0 ms to directory /opt/data/app-server/software/package/license/ackLet op: De bestandsnaam die in voorbeelden wordt weergegeven (bijvoorbeeld cmd.gz.war) is alleen illustratief. Werkelijke cases kunnen verschillende bestandsnamen gebruiken. Noteer alle unieke traversal bestandsnamen geïdentificeerd, omdat elk vertegenwoordigt een afzonderlijke gevallen lading.
Stap 2: Handmatig zoeken, opdracht
Vanuit Terminal — zoeken binnen geëxtraheerde admin-tech bundel:
grep -rE "SmartLicensingManager.*Time taken to write file \.\.\/" var/log/nms/vmanage-server.log*Met inbegrip van geroteerde/gecomprimeerde logs:
zgrep -E "SmartLicensingManager.*Time taken to write file \.\.\/" var/log/nms/vmanage-server.log*Om gerelateerde contextlijnen vast te leggen (API-verwerking uploaden en gebeurtenissen schrijven):
grep -rE "SmartLicensingManager.*(write file|is processing|stringUrl|Failed to download).*/wildfly" var/log/nms/vmanage-server.log*Verificatie 5: bestandsimplementatie
Let op: Bestandsextensies die in een gecompromitteerde omgeving worden gezien, kunnen variëren. De voorbeelden en zoekpatronen bestreken gemeenschappelijke scenario's, maar zijn niet uitputtend.
Stap 1: Waar moet je op letten
Logbestand: /var/log/nms/containers/service-proxy/serviceproxy-access.log
Elke POST-aanvraag voor een *.gz/*.jsp URI-patroon wordt gemarkeerd. De HTTP-status bepaalt de ernst:
| HTTP-status | Betekenis | Bevestigd compromis? |
|---|---|---|
| 200 | Server voert de webshell uit; payload is actief | Ja - bevestigd compromis |
Voorbeeld logregels:
[2026-03-04T08:03:33.295Z] "POST /cmd.gz/cmd.jsp HTTP/1.1" 200 - 6 63 78 - "" "python-requests/2.32.5" "9d842c1a-b96f-4d04-ac3d-542ec3dd734b" "192.168.2.3" "127.0.0.1:8080" Stap 2: Handmatig zoeken, opdracht
Vanuit Terminal — zoeken binnen geëxtraheerde admin-tech bundel:
grep -rE '"POST /[^"]+\.gz/[^"]+\.jsp HTTP' var/log/nms/containers/service-proxy/serviceproxy-access.log*Met inbegrip van geroteerde/gecomprimeerde logs:
zgrep -E '"POST /[^"]+\.gz/[^"]+\.jsp HTTP' var/log/nms/containers/service-proxy/serviceproxy-access.log*Bevestigde uitvoering (HTTP 200) scheiden van niet-200-pogingen:
# HTTP 200 only - confirmed webshell execution:
grep -rE '"POST /[^"]+\.gz/[^"]+\.jsp HTTP[^"]*" 200' var/log/nms/containers/service-proxy/serviceproxy-access.log*
Opmerking: documenteer alle unieke bron-IP's, het totale aantal verzoeken en het aantal HTTP 200-antwoorden. Rapporteer aan Cisco TAC.
Veelgestelde vragen
V: Wat is de eerste stap om dit beveiligingsadvies aan te pakken?
A: Verzamel admin-tech-bestanden van alle besturingscomponenten en open een TAC-geval om de bestanden te uploaden. TAC beoordeelt uw omgeving en geeft richtlijnen voor de volgende stappen.
V. Naar welke versie moet ik upgraden?
A. Upgrade ten vroegste naar de dichtstbijzijnde vaste versie.
V: Moet ik admin-techs verzamelen van alle besturingscomponenten?
A: Ja, TAC vereist admin-tech-bestanden van alle controllers (vSmart, één voor één verzameld), alle managers (vManage) en alle validators (vBond) om uw omgeving goed te beoordelen.
V: Hoe bepaalt TAC of mijn systeem is aangetast?
A: TAC analyseert de admin-tech bestanden met behulp van gespecialiseerde tools om uw omgeving te beoordelen op indicatoren van compromis.
V: Wat gebeurt er als er compromisindicatoren worden vastgesteld?
A: TAC neemt contact met u op om de volgende stappen en specifieke richtlijnen voor uw omgeving te bespreken. Cisco voert de sanering niet namens u uit - TAC biedt de begeleiding die u nodig hebt om door te gaan.
V: Hoe weet ik welke vaste softwareversie ik moet gebruiken?
A: Raadpleeg de tabel Vaste softwareversies in dit document. TAC bevestigt de juiste versie voor uw specifieke omgeving.
V: Kan ik de upgrade starten voordat TAC mijn admin-techs analyseert?
A: Nee, wacht tot de TAC hun beoordeling heeft voltooid en advies heeft gegeven voordat u probeert herstelmaatregelen te nemen.
V: Wordt er downtime verwacht tijdens de sanering?
A: De impact hangt af van uw implementatiearchitectuur en het herstelpad. TAC biedt richtlijnen voor het minimaliseren van service-impact tijdens het proces.
V: Zijn de PSIRT-fixes opgenomen in de aankomende 20.15.5-release en andere aankomende releases?
A: Ja, fixes zijn opgenomen in 20.15.5 en andere aankomende releases. De upgrade om de in dit document beschreven kwetsbaarheden te verhelpen, moet echter ONMIDDELLIJK prioriteit krijgen. (Wacht niet!)
V: Moeten alle controllers worden bijgewerkt als er geen compromisindicatoren worden gevonden?
A: Ja, alle SD-WAN-besturingscomponenten (vManage, vSmart en vBond) moeten worden bijgewerkt naar een vaste softwareversie. Het upgraden van slechts een deel van de controllers is niet voldoende.
V: Ik heb een door de cloud gehoste SD-WAN-overlay. Wat zijn mijn opties voor een upgrade?
A: Voor cloud-gehoste overlays hebben klanten twee opties:
- Controleer of uw omgeving is gepland voor een geautomatiseerde upgrade door te navigeren naar SSP > Overlay Details > Windows wijzigen.
- Als u niet wilt wachten op de geplande upgrade, hebt u twee opties:
- Upgrade zelf met de upgradehandleidingen die in dit document beschikbaar zijn.
-
Open een stand-by TAC-case voor het onderhoudsvenster van uw voorkeur. TAC is beschikbaar om u te helpen als u problemen ondervindt met de upgrade.
V: Moeten we ook de edge-routers upgraden?
A: Cisco IOS XE-apparaten worden niet beïnvloed door dit advies.
V: Wij zijn een Cisco-gehoste overlay. Moeten we ACL's repareren of actie ondernemen op SSP?
A: Alle door Cisco gehoste klanten wordt geadviseerd om hun eigen toegestane inkomende regels te bekijken die op SSP te zien zijn en ervoor te zorgen dat alleen de noodzakelijke voorvoegsels van uw kant zijn toegestaan. Deze regels gelden alleen voor beheertoegang en zijn niet van toepassing op edge-routers. Bekijk ze in SSP > Overlay Details > Inkomende regels toestaan. Houd er rekening mee dat poort 22, 830 op dag 0 altijd standaard werden geblokkeerd door Cisco van buiten naar de cloud gehoste controllers.
V: We zijn op CDCS / Gedeelde huurder. Naar welke versie wordt er geüpgraded?
A: Op basis van de huidige versie zijn de gedeelde huurder of CDCS-clusters momenteel op schema om te worden bijgewerkt OF al te worden bijgewerkt naar de vaste versies. Hier zijn de gedeelde tenant en CDCS vaste releases:
1. Early Adopter clusters => 20.18.2.1 (dit is eigenlijk hetzelfde als de standaard release)
2. Releaseclusters aanbevelen => 20.15.405 (CDCS-specifieke versie met PSIRT-oplossingen)
CDCS-klanten hoeven geen actie te ondernemen om deze PSIRT effectief aan te pakken.
V: Wat zijn de algemene best practices of manieren om kwetsbaarheden voor mijn SD-WAN-overlay te verminderen?
A: Raadpleeg de Cisco Catalyst SD-WAN Hardening Guide voor best practices en aanbevelingen om kwetsbaarheden in uw SD-WAN-overlay te verminderen.
V: We zien logboeken van een "root" -gebruiker op ons systeem. Is dit zorgwekkend?
A: Controleer wat er op dat moment nog meer in het systeem gebeurt. Deze logs zijn volledig te verwachten. Zo worden bijvoorbeeld logboeken voor systeemaanmelding-wijziging van een "root"-gebruiker weergegeven wanneer admin-techs worden gegenereerd. Logs kunnen ook worden gezien van een "root" -gebruiker tijdens een reboot.
Feb 28 23:03:44 Manager01 SYSMGR[863]: %Viptela-Manager01-sysmgrd-6-INFO-1400002: Notification: system-login-change severity-level:minor host-name:"Manager01" system-ip: user-name:"root" user-id:245 generated-at:2-28-2026T23:3:44
Feb 28 23:03:47 Manager01 SYSMGR[863]: %Viptela-Manager01-sysmgrd-6-INFO-1400002: Notification: system-login-change severity-level:minor host-name:"Manager01" system-ip: user-name:"root" user-id:248 generated-at:2-28-2026T23:3:47
V: We hebben al een upgrade uitgevoerd zonder compromisindicatoren. Nadat de nieuwe IOC's op 17 maart werden vrijgegeven, wat moet ik doen?
A: De software die als vast wordt vermeld, bevat bescherming tegen verdere pogingen om de CVE's te exploiteren die worden vermeld in de twee adviezen die in dit artikel worden behandeld. Hoewel een upgrade beschermt tegen toekomstige exploits, kunnen er nog steeds bestaande exploits zijn die zich vóór de upgrade hebben voorgedaan. Het wordt aanbevolen dat klanten de self-service "Check Bug Applicability" gebruiken die is ingebouwd op de Bug Search Tool Page voor Cisco bug ID CSCws52722 om admin-techs van de Control Components opnieuw te scannen. Indien nodig kunnen klanten een TAC-zaak openen en het in dit artikel beschreven proces herhalen om admin-techs opnieuw te scannen op basis van de nieuwe IOC's. b
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
5.0 |
19-Mar-2026
|
Verificatiestappen 3-5 toegevoegd |
4.0 |
01-Mar-2026
|
V&A-updates |
3.0 |
27-Feb-2026
|
20.9.8.2 beschikbaar is |
2.0 |
26-Feb-2026
|
Bijgewerkte Q&A |
1.0 |
25-Feb-2026
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)