Dit document beschrijft stappen om kritieke beveiligingslekken in SD-WAN te identificeren en aan te pakken op basis van PSIRT-adviezen van 4 en 15 juni 2026.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Voor gedetailleerde achtergrondinformatie en de laatste updates, raadpleegt u de officiële PSIRT-adviespagina.
Deze adviezen zijn beschikbaar via deze links:
Deze gebreken worden behandeld door deze PSIRT-adviezen:
Deze adviezen beschrijven twee kwetsbaarheden in Cisco Catalyst SD-WAN. De eerste (CVE-2026-20245) is een kwetsbaarheid voor privilege-escalatie in SD-WAN-besturingscomponenten waarvoor netadmin-bevoegdheden nodig zijn om te exploiteren. De tweede (CVE-2026-20262) is een willekeurig bestandsschrijfbeveiligingslek in SD-WAN Manager (vManage) waarmee een geverifieerde gebruiker elk bestand op het bestandssysteem van een getroffen systeem kan maken of overschrijven.
Voor zowel CVE-2026-20245 als CVE-2026-20262 zijn de bekende paden voor een niet-geverifieerde externe aanvaller om de vereiste referenties te verkrijgen, exploitatie van CVE-2026-20182 (cisco-sa-sdwan-rpa2-v69WY2SW) of CVE-2026-20127 (cisco-sa-sdwan-rpa-EHchtZk). Voor CVE-2026-20245 zijn netadmin-bevoegdheden vereist om te kunnen exploiteren, terwijl voor CVE-2026-20262 ten minste een gebruikersaccount met één taak met minder bevoegdheden nodig is.
Als uw besturingscomponenten zijn geüpgraded naar een vaste release voor beide adviezen en Cisco geen potentiële indicatoren van compromis (IoC's) heeft geïdentificeerd in de admin-tech-bestanden die u voor de eerdere gebeurtenissen hebt verstrekt, worden de bekende niet-geverifieerde exploitatiepaden voor zowel CVE-2026-20245 als CVE-2026-20262 beperkt op die specifieke apparaten, op basis van de beoordeelde bestanden. Dit elimineert de blootstelling niet wanneer een aanvaller geldige referenties heeft. Cisco raadt u aan om te upgraden naar een vaste release voor beide adviezen.
Vereiste actie: Open een Cisco TAC-case om deze beveiligingsadviezen aan te pakken.
De TAC is beschikbaar voor:
Vereist: Verzamel admin-tech bestanden van alle besturingscomponenten voordat u een upgrade of configuratiewijziging uitvoert, zodat diagnostische gegevens en mogelijke indicatoren van compromis (IoC's) behouden blijven. Deze bestanden worden door TAC in stap 3 gebruikt om uw omgeving te analyseren.
Collectie: Selecteer Logboekopties en technische opties voor het genereren van beheerderstechnologie. De kern is niet nodig.
Verzamel een Admin-Tech in een SD-WAN-omgeving en upload naar een TAC-case
Opmerking: TAC analyseert deze bestanden om uw omgeving te beoordelen op compromisindicatoren met betrekking tot beide adviezen. Voor het advies over escalatie van bevoegdheden richt de analyse zich op een specifieke logboekvermelding in /var/log/scripts.log die geen onderscheid maakt tussen legitiem en kwaadwillig gebruik; handmatige beoordeling door TAC is vereist. Voor de arbitraire file write advisory richt de analyse zich op vermeldingen in /var/log/nms/vmanage-server.log; deze vermeldingen kunnen ook voorkomen tijdens standaardbewerkingen en moeten worden beoordeeld aan de hand van de normale operationele houding om false positives te voorkomen.
Als u geen admin-tech-bestanden kunt delen, is een handmatige verificatiestap beschikbaar. Deze stap biedt een voorlopige indicator die moet worden gedocumenteerd en gedeeld met de TAC.
Zie het gedeelte Handmatige verificatiestappen aan het einde van dit document voor een gedetailleerde procedure. Documenteer alle bevindingen en geef ze aan TAC in uw ondersteuningsgeval.
Nadat u admin-techs hebt verzameld in stap 1, opent u een ondersteuningscase voor Cisco TAC en uploadt u de verzamelde admin-techbestanden. TAC analyseert de admin-techs voor compromisindicatoren in verband met beide adviezen (CVE-2026-20245 en CVE-2026-20262).
Vereiste acties:
cisco-sa-sdwan-privesc-4uxFredzx en cisco-sa-sdwan-arbfw-c2rZvQ in de titel om de analyse te initiëren.
Opmerking: Cisco heeft op dit moment softwarefixes voor deze kwetsbaarheden op alle releasetreinen uitgebracht, maar er zijn geen oplossingen beschikbaar. De TAC-analyse in stap 3 helpt te bepalen of er compromisindicatoren aanwezig zijn in de door u verstrekte admin-tech-bestanden. Upgrade naar een vaste softwareversie en houd u aan de TAC-richtlijnen met betrekking tot andere noodzakelijke volgende stappen.
TAC voert een voorlopige analyse uit van de admin-tech-bestanden die u in stap 2 hebt geüpload en beoordeelt deze op compromisindicatoren die verband houden met beide adviezen (CVE-2026-20245 en CVE-2026-20262).
Voor advies CVE-2026-20245 is de analyse gericht op een specifieke logboekvermelding in /var/log/scripts.log op elke besturingscomponent (vManage, vSmart en vBond). Omdat de onderliggende opdracht legitiem is en het logboek geen onderscheid maakt tussen legitiem en kwaadwillig gebruik, moeten alle overeenkomende items handmatig worden gecontroleerd door TAC in vergelijking met uw normale operationele houding voordat ze worden behandeld als een bevestigde indicator.
Voor advies CVE-2026-20262, is de analyse gericht op verschillende bestanden in de /var/log/nms directory van elke Manager (vManage). In sommige gevallen kunnen deze indicatoren van compromis optreden tijdens standaardbewerkingen.
Deze logboeken maken geen onderscheid tussen legitiem en kwaadwillig gebruik; daarom moeten alle overeenkomende items handmatig door TAC worden beoordeeld aan de hand van uw normale operationele houding voordat ze worden behandeld als een bevestigde indicator.
Mogelijke uitkomsten van de TAC-analyse:
Opmerking: volgens het CVE-2026-20245-advies vereist exploitatie netadmin-bevoegdheden, terwijl CVE-2026-20262 ten minste een lager geprivilegieerd gebruikersaccount voor één taak vereist. Een niet-geverifieerde aanvaller kan die referenties verkrijgen door geldige referenties of gebruik van CVE-2026-20182 of CVE-2026-20127. Als uw besturingscomponenten zijn geüpgraded naar een vaste release voor beide adviezen en er geen compromisindicatoren zijn geïdentificeerd voor de eerdere gebeurtenissen, worden de bekende niet-geverifieerde exploitatiepaden voor zowel CVE-2026-20245 als CVE-2026-20262 beperkt op die specifieke apparaten, op basis van de beoordeelde bestanden.
Als TAC compromisindicatoren identificeert die verband houden met deze adviezen in uw omgeving, neemt TAC contact met u op met specifieke richtlijnen. Vul alle instructies in die door TAC worden verstrekt.
Als er voor geen van beide adviesorganen compromisindicatoren zijn vastgesteld, is op dit moment geen verdere specifieke actie voor de compromisbeoordeling vereist, op basis van de bestudeerde admin-tech-bestanden. Upgraden naar een vaste release voor beide adviezen wordt nog steeds sterk aanbevolen.
Deze softwarereleases bevatten oplossingen voor de geïdentificeerde kwetsbaarheden:
| Geldt voor huidige versies | Vaste versie | Beschikbare software |
|---|---|---|
| 20.9.9.1 en eerder | 20.9.9.2 | 20.9.9.2 Upgrade-images voor vManage, vSmart en vBond |
| 20.12.7.1 en eerder | 20.12.7.2 | 20.12.7.2 Upgrade-images voor vManage, vSmart en vBond |
| 20.15.4.4 en eerder | 20.15.4.5 | 20.15.4.5 Upgrade-images voor vManage, vSmart en vBond |
| 20.15.5.2 en eerder | 20.15.5.3 | 20.15.5.3 Upgrade-images voor vManage, vSmart en vBond |
| 20,16, 20,17, 20,18,x | 20.18.3.1 | 20.18.3.1 Upgrade-images voor vManage, vSmart en vBond |
| 26.1 | 26.1.1.2 | 26.1.1.2 Upgrade-images voor vManage, vSmart en vBond |
Belangrijke referenties:
Aan het einde van een succesvolle sanering, en op basis van uw specifieke eisen voor beveiligingszekerheid, raadt Cisco u aan de hier vermelde hygiëneactiviteiten te evalueren en erop te reageren. Deze activiteiten zijn van toepassing ongeacht welke hersteloptie is geselecteerd. Ze worden door gebruikers beheerd; Cisco leidt ze niet of voert ze niet uit namens u.
Cisco raadt geen specifiek herstelpad aan; de keuze van een hersteloptie berust bij elke klant.
Opmerking: als er een vermoeden bestaat dat een randapparaat in gevaar is, is een fabrieksreset en het opnieuw instappen van de randapparaten een door de klant beheerde actie waarmee rekening moet worden gehouden bij het maken van uw selectie. De beslissing om deze aanpak te volgen en welke optie te selecteren, ligt bij elke klant.
De juiste opdracht voor het uitvoeren van een veilige fabrieksreset is:
factory-reset all secure
Opmerking: Admin-tech-verzameling is de voorkeursmethode. Gebruik de hier weergegeven handmatige verificatiestap alleen als admin-tech-bestanden niet kunnen worden verzameld en gedeeld met TAC. Het resultaat van deze handmatige stap is voorlopig; documenteer bevindingen en deel ze met TAC, die de officiële beoordeling uitvoert.
Opmerking: voor beide adviezen bestaat de handmatige verificatie uit gerichte logboekcontroles. De logboekvermeldingen waarop deze controles zijn gericht, worden gegenereerd door legitieme opdrachten en activiteiten en in de logbestanden alleen wordt geen onderscheid gemaakt tussen legitiem en kwaadwillig gebruik. Elke overeenkomende vermelding moet worden beoordeeld aan de hand van uw normale operationele houding voordat deze als een potentiële indicator wordt behandeld. Als een overeenkomende vermelding niet kan worden aangesloten op normale activiteiten, documenteert u de bevinding en deelt u deze met TAC.
scripts.log op elke besturingscomponent voor bestandsupportitemsVolgens het PSIRT-advies worden gebruikers aangemoedigd om logbestanden te controleren voor vermeldingen die vergelijkbaar zijn met dit voorbeeld. Op versie 20.9 en hoger is dit item te vinden in scripts.log at /var/log/. Voor releases vóór 20.9 zijn de equivalente gegevens te vinden in vdebug-logs op /var/log/tmplog/:
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Stap 1: Open vshell op elke besturingscomponent en zoek de juiste logbestanden voor CVE-2026-20245-indicatoren
De locatie van het logbestand is afhankelijk van de softwarerelease die wordt uitgevoerd op de besturingscomponent. Bepaal wat van toepassing is op uw omgeving voordat u de zoekopdracht uitvoert.
Release 20.9 en hoger — Zoek scripts.log in de /var/log/tmplog/:
Ga vanuit de vManage CLI naar vshell en voer het volgende uit:
vs
zgrep "vconfd_script_upload_tenant_list.sh" /var/log/scripts.log*
Releases vóór 20.9 — Zoek vdebug logs in /var/log/tmplog/:
Op releases voor 20.9 is scripts.log niet aanwezig. De equivalente loggegevens worden geschreven naar /var/log/tmplog/vdebug. Er worden maximaal vijf doorlopende genummerde bestanden behouden (vdebug, vdebug.1 tot en met vdebug.5). Alle actieve bestanden doorzoeken met:
vs
zgrep "vconfd_script_upload_tenant_list.sh" /var/log/tmplog/vdebug*
Naast de actieve bestanden worden oudere logs gearchiveerd als gecomprimeerde tar-bestanden in /var/log/met behulp van het naamgevingspatroon vdebug_<timestamp>.tar.gz, waarbij de loggegevens in het archief worden opgeslagen op var/log/tmplog. Doorzoek alle archieven met:
for f in /var/log/vdebug_*.tar.gz; do echo "=== $f ==="; tar -xOf "$f" var/log/tmplog 2>/dev/null | grep "vconfd_script_upload_tenant_list.sh"; done
Herhaal alle controles die van toepassing zijn op elke besturingscomponent in de implementatie (inclusief alle clusterleden en alle aan DR gekoppelde vManage).
Stap 2: Interpreteren van resultaten en documenten voor TAC
Als er GEEN overeenkomende items worden geretourneerd:
Als overeenkomende items worden teruggegeven:
cli-pad.Volgens het PSIRT-advies worden gebruikers aangemoedigd om deze logbestanden op elke Manager (vManage) te controleren op vermeldingen die vergelijkbaar zijn met deze voorbeelden:
Voorbeeld verdachte vermelding in vmanage-server.log (op /var/log/nms/)
11-June-2026 03:53:37,310 EDT INFO [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [server] [SdraAnyConnectFileUploadHandler] (default task-40704) |default| uploaded Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war to vManage.
Voorbeeld verdachte vermelding in vmanage-appserver.log (op /var/log/nms/)
11-June-2026 07:52:55,275 UTC INFO [server] (DeploymentScanner-threads - 2) WFLYSRV0010: Deployed "suspicious.war" (runtime-name : "suspicious.war")
Voorbeeld verdachte vermelding in serviceproxy-access.log (op /var/log/nms/containers/service-proxy/)
POST /suspicious/index.jsp HTTP/1.1
Opmerking: bij releases vóór 20.9 bevindt serviceproxy-access.log zich op var/log/nms/ in plaats van var/log/nms/containers/service-proxy/.
Stap 1: Open vshell op elke Manager (vManage) en zoek de logbestanden
Ga vanuit de vManage CLI naar vshell en voer:
vs
zgrep "SdraAnyConnectFileUploadHandler" /var/log/nms/vmanage-server.log*
zgrep "WFLYSRV0010" /var/log/nms/vmanage-appserver.log*
Bij sommige releases is het service-proxy-log rechtstreeks toegankelijk vanuit vshell. Op releases waar root shell-toegang vereist is, downloadt u de admin-tech en zoekt u de serviceproxy-access.log-bestanden erin op dezelfde manier met behulp van een opdracht die lijkt op:
Release 20.9 en hoger:
tar -xOf .tar.gz var/log/nms/containers/service-proxy/serviceproxy-access.log 2>/dev/null | grep "suspicious"
Releasen voor 20.9:
tar -xOf .tar.gz var/log/nms/serverproxy-access.log 2>/dev/null | grep "suspicious"
Als u rechtstreeks vanuit vshell toegang hebt, gebruikt u de .war-bestandsnaam die is geïdentificeerd aan de hand van de resultaten van de vorige twee opdrachten (zonder de extensie) in plaats van verdachte:
Release 20.9 en hoger:
zgrep "POST" /var/log/nms/containers/service-proxy/serviceproxy-access.log* | grep "suspicious"
Releasen voor 20.9:
zgrep "POST" /var/log/nms/serverproxy-access.log* | grep "suspicious"
Herhaal de controle op elke vManage-server in de implementatie (inclusief alle clusterleden en alle aan DR gekoppelde vManage).
Stap 2: Interpreteren van resultaten en documenten voor TAC
Als er GEEN overeenkomende items worden geretourneerd:
Als overeenkomende items worden teruggegeven:
vmanage-server.log de tijdstempel, de volledige logregel en het bestandspad vast waarnaar wordt verwezen in de uploadhandler.V: Wat is de eerste stap om deze beveiligingsadviezen aan te pakken?
A: Verzamel admin-tech-bestanden van alle besturingscomponenten (vSmart, vManage, vBond) voordat u een upgrade of configuratiewijziging uitvoert om diagnostische gegevens en eventuele compromisindicatoren te behouden. Open vervolgens een Cisco TAC-case en upload de admin-techs zodat TAC ze kan analyseren.
V: Heeft Cisco een softwarefix uitgebracht voor deze kwetsbaarheden?
A: Ja, vaste releases zijn beschikbaar voor beide adviezen, zoals vermeld in de sectie Vaste softwareversies. Er zijn geen workarounds.
V: Waarom raadt Cisco aan om meer te doen dan alleen upgraden?
A: Het gebruik van deze kwetsbaarheden vereist een geverifieerde gebruiker. Een niet-geverifieerde aanvaller kan deze referenties alleen verkrijgen via geldige referenties of door gebruik te maken van CVE-2026-20182 of CVE-2026-20127. Ervoor zorgen dat besturingscomponenten worden geüpgraded naar de vaste releases voor die eerdere adviezen, richt zich op de bekende niet-geverifieerde paden om de bevoegdheden te verkrijgen die nodig zijn om deze kwetsbaarheden te exploiteren. De admin-tech-analyse in stap 3 helpt bepalen of er compromisindicatoren aanwezig zijn in de beoordeelde bestanden.
V: Moet ik admin-techs verzamelen van alle besturingscomponenten?
A: Ja. TAC vereist admin-tech-bestanden van alle controllers (vSmart, één voor één verzameld), alle managers (vManage) en alle validators (vBond) om de analyse uit te voeren.
V: Hoe bepaalt TAC of mijn systeem compromisindicatoren heeft die verband houden met deze adviezen?
A: TAC beoordeelt de admin-tech bestanden voor indicatoren van compromis specifiek voor elk advies. Voor het adviesformulier voor escalatie van bevoegdheden (CVE-2026-20245) zoekt TAC naar specifieke logboekvermeldingen in /var/log/scripts.log op elke controlecomponent. Voor het advies voor het schrijven van willekeurige bestanden (CVE-2026-20262) zoekt TAC naar specifieke logboekvermeldingen in drie logbestanden op elke Manager: /var/log/nms/vmanage-server.log, /var/log/nms/vmanage-appserver.log en /var/log/nms/containers/service-proxy/serviceproxy-access.log. In beide gevallen kan de onderliggende activiteit optreden tijdens standaardbewerkingen; alle overeenkomende items worden door TAC beoordeeld aan de hand van uw normale operationele houding voordat ze worden behandeld als een bevestigde indicator.
V: Wat gebeurt er als er compromisindicatoren worden vastgesteld?
A: TAC neemt contact met u op met specifieke begeleiding. De upgrade alleen lost een bevestigd compromis niet op. De richtlijnen van TAC zijn gebaseerd op de stroom gedocumenteerd in de gerelateerde TechZone-artikelen voor de adviezen van mei 2026 en februari 2026.
V: Worden edge routers (Cisco IOS XE) beïnvloed door deze adviezen?
A: Deze adviezen hebben voornamelijk betrekking op Cisco Catalyst SD-WAN-besturingscomponenten. Voor het privilege escalation advisory (CVE-2026-20245) worden alle besturingscomponenten (vManage, vSmart, vBond) beïnvloed en Cisco heeft beperkte gevallen waargenomen waarin de exploitatie ertoe leidde dat een configuratiewijziging naar randapparaten werd gepusht; gebruikers worden aangemoedigd om de configuratie van hun randapparaten te verifiëren. Voor het advies voor het schrijven van willekeurige bestanden (CVE-2026-20262) is de kwetsbaarheid beperkt tot het bestandssysteem SD-WAN Manager en heeft deze geen directe invloed op randapparaten.
V: Welke implementatietypen worden beïnvloed?
A: Volgens deze adviezen zijn deze kwetsbaarheden van invloed op alle implementatietypen van Cisco Catalyst SD-WAN, ongeacht de apparaatconfiguratie, waaronder On-Prem Deployment, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) en Cisco SD-WAN for Government (FedRAMP).
V: Ik heb al een upgrade uitgevoerd voor de adviezen van mei 2026 en februari 2026 en er zijn voor die evenementen geen compromisindicatoren vastgesteld. Sta ik bloot aan deze nieuwe kwetsbaarheden?
A: Als uw besturingscomponenten een vaste release hebben voor zowel CVE-2026-20182 als CVE-2026-20127 en er geen compromisindicatoren zijn geïdentificeerd voor die eerdere gebeurtenissen in de beoordeelde admin-tech-bestanden, worden de bekende niet-geverifieerde exploitatiepaden voor zowel CVE-2026-20245 als CVE-2026-20262 beperkt op die specifieke apparaten, op basis van de beoordeelde bestanden. Dit elimineert de blootstelling niet wanneer een aanvaller geldige referenties heeft. Cisco raadt u aan om te upgraden naar een vaste release voor deze adviezen.
V: Kan ik de verificatie zelf uitvoeren in plaats van te wachten op TAC?
A: Gebruikers die geen beheerderstechnieken kunnen delen, kunnen de handmatige verificatiestap uitvoeren die in de bijlage wordt beschreven. Het resultaat is voorlopig; documenteer bevindingen en deel ze met TAC, die de officiële beoordeling uitvoert.
V: Wat zijn de algemene best practices voor het verharden van mijn SD-WAN-overlay?
A: Raadpleeg de Cisco Catalyst SD-WAN Hardening Guide voor best practices.
V: Biedt Cisco TAC forensische analyse of onderzoeksdiensten voor deze kwetsbaarheden?
A: Cisco TAC kan gebruikers helpen door admin-tech-bestanden te bekijken voor de indicatoren van compromis die in beide PSIRT-adviezen zijn gedocumenteerd. Cisco TAC voert geen diepgaande forensische analyse of incidentonderzoek uit. Voor uitgebreid forensisch werk of gedetailleerde veiligheidsonderzoeken worden gebruikers aangemoedigd om hun favoriete derde partij Incident Response (IR)-bedrijf in te schakelen.
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
8.0 |
22-Jun-2026
|
Verificatiestappen bijgewerkt voor release vóór 20.9 |
7.0 |
16-Jun-2026
|
Bijwerken van bijlage met aanvullende informatie |
6.0 |
16-Jun-2026
|
Informatie toegevoegd voor CVE-2026-20262 |
5.0 |
12-Jun-2026
|
Vaste software releases toegevoegd. |
4.0 |
11-Jun-2026
|
26.1.1.2 Afbeelding vrijgegeven |
3.0 |
10-Jun-2026
|
Toegevoegd Vaste versie 20.18.3.1 |
2.0 |
05-Jun-2026
|
Documentatie-update |
1.0 |
05-Jun-2026
|
Eerste vrijgave |