Consultoria de segurança do Catalyst SD-WAN de correção - junho de 2026

Opções de download

  • PDF     (295.5 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:22 de junho de 2026
ID do documento:226014

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve as etapas para identificar e lidar com vulnerabilidades de segurança críticas na SD-WAN com base nos avisos da PSIRT de 4 e 15 de junho de 2026.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Componentes de arquitetura e controle do Cisco Catalyst SD-WAN (vManage, vSmart, vBond)
  • Procedimento de atualização do Cisco Catalyst SD-WAN
  • Gerenciamento de casos do Cisco TAC e procedimentos de coleta de tecnologia administrativa


Componentes Utilizados

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

Para obter informações detalhadas e as atualizações mais recentes, consulte a página oficial do PSIRT Advisory.

Essas recomendações estão disponíveis nos seguintes links:

Esses defeitos são abordados por estes avisos PSIRT:

Visão Geral do Fluxo de Trabalho de Correção

Essas recomendações descrevem duas vulnerabilidades no Cisco Catalyst SD-WAN. O primeiro (CVE-2026-20245) é uma vulnerabilidade de escalação de privilégios em componentes de controle SD-WAN que exige privilégios de administrador de rede para exploração. O segundo (CVE-2026-20262) é uma vulnerabilidade arbitrária de gravação de arquivos no SD-WAN Manager (vManage) que permite que um usuário autenticado crie ou substitua qualquer arquivo no sistema de arquivos de um sistema afetado.

Tanto para o CVE-2026-20245 quanto para o CVE-2026-20262, os caminhos conhecidos para um invasor remoto não autenticado obter as credenciais necessárias são a exploração do CVE-2026-20182 (cisco-sa-sdwan-rpa2-v69WY2SW) ou do CVE-2026-20127 (cisco-sa-sdwan-rpa-EHchtZk). O CVE-2026-20245 requer privilégios de administrador de rede para exploração, enquanto o CVE-2026-20262 requer pelo menos uma conta de usuário de tarefa única com privilégios mais baixos.

Se seus componentes de controle foram atualizados para uma versão fixa para esses dois avisos, e a Cisco não identificou nenhum indicador potencial de comprometimento (IoCs) nos arquivos de tecnologia administrativa fornecidos para os eventos anteriores, os caminhos de exploração não autenticados conhecidos para CVE-2026-20245 e CVE-2026-20262 serão mitigados nesses dispositivos específicos, com base nos arquivos revisados. Isso não elimina a exposição quando um invasor tem credenciais válidas. A Cisco recomenda que você atualize para uma versão fixa para ambos os consultivos.

Ação necessária:Abra um caso do Cisco TAC para lidar com essas recomendações de segurança.

TAC disponível para:

  • Avaliar seu ambiente em busca de indicadores de comprometimento
  • Guiá-lo pelo caminho de remediação apropriado com base na avaliação
  • Fornecer orientações sobre as próximas etapas a serem tomadas se forem identificados indicadores de comprometimento
  1. Coletar Admin-Techs- Executar admin-tech em todos os componentes de controle (vSmart, vManage, vBond). Os técnicos de administração do vSmart não devem ser executados simultaneamente — execute-os um de cada vez. Todos os outros podem ser coletados em qualquer ordem. Selecione as opções Log e Tech.  O núcleo não é necessário.
  2. Caso de TAC aberto - Entre em contato com o TAC da Cisco e forneça todos os pacotes de log de Admin-tech do componente de controle.
  3. Avaliação do TAC - O TAC executa uma avaliação preliminar de indicadores de comprometimento em seu ambiente com base nos arquivos técnicos de administração fornecidos.
  4. Execute a correção- Conclua o processo específico fornecido pelo TAC, se necessário.

Passo 1: Coletar arquivos de administração técnica de todos os componentes de controle

obrigatório: Colete arquivos técnicos de administração de todos os componentes de controle antes de qualquer atualização ou alteração de configuração para que os dados de diagnóstico e qualquer indicador de comprometimento (IoCs) em potencial sejam preservados. Esses arquivos são usados pelo TAC na Etapa 3 para analisar seu ambiente.

Coleção: para geração de admin-tech, selecione as opções Log e Tech. O núcleo não é necessário.

  1. Execute o admin-tech em TODOS os controladores (vSmarts) — não execute-os simultaneamente; coletar um de cada vez
  2. Execute admin-tech em TODOS os gerentes (vManages)
  3. Execute admin-tech em TODOS os Validadores (vBonds)

Coletar um Admin-Tech em um ambiente SD-WAN e fazer upload para um caso TAC

note-icon

Note: O TAC analisa esses arquivos para avaliar seu ambiente em busca de indicadores de comprometimento relacionados a ambos os consultivos. Para o aviso de escalonamento de privilégio, a análise se concentra em uma entrada de log específica em /var/log/scripts.log que não faz distinção entre uso legítimo e mal-intencionado; é necessária uma revisão manual pelo TAC. No que se refere à recomendação de escrita de ficheiro arbitrário, a análise centra-se nas entradas em /var/log/nms/vmanage-server.log; essas entradas também podem ocorrer durante operações padrão e devem ser avaliadas em relação à postura operacional normal para evitar falsos positivos.

Alternativa: Verificação manual (somente se não for possível coletar Admin-Tech)

Se você não puder compartilhar arquivos admin-tech, uma etapa de verificação manual estará disponível. Esta etapa fornece um indicador preliminar que deve ser documentado e compartilhado com o TAC.

Consulte a seção Etapas de verificação manual no final deste documento para obter um procedimento detalhado. Documente todas as descobertas e forneça-as ao TAC em seu caso de suporte.

Passo 2: Abra um caso no TAC e carregue arquivos administrativos

Depois de coletar os técnicos administrativos na Etapa 1, abra um caso de suporte do Cisco TAC e carregue os arquivos técnicos de administração coletados. O TAC analisa os técnicos administrativos para obter indicadores de comprometimento associados a ambos os consultivos (CVE-2026-20245 e CVE-2026-20262).

Ações necessárias:

  1. Abra um caso TAC de Gravidade 3 com "CVE-2026-20245, CVE-2026-20262" e as IDs de aviso cisco-sa-sdwan-privesc-4uxFrdzx e cisco-sa-sdwan-arbfw-c2rZvQ no título para iniciar a análise.
  2. Carregue TODOS os pacotes de registro admin-tech coletados na Etapa 1 (Controladores, Gerentes e Validadores).
  3. Aguarde até que o TAC conclua a análise e comunique os resultados.
note-icon

Note: No momento, a Cisco lançou correções de software para essas vulnerabilidades em todas as trilhas de versões, mas não há soluções disponíveis. A análise do TAC na Etapa 3 ajuda a determinar se algum indicador de comprometimento está presente nos arquivos admin-tech fornecidos por você. Atualize para uma versão de software fixa e siga as orientações do TAC com relação a quaisquer outras próximas etapas necessárias. 

Passo 3: Avaliação do TAC

O TAC executa uma análise preliminar dos arquivos admin-tech que você carregou na Etapa 2 e os avalia quanto a indicadores de comprometimento associados a ambos os consultivos (CVE-2026-20245 e CVE-2026-20262).

Para o consultivo CVE-2026-20245, a análise se concentra em uma entrada de log específica em /var/log/scripts.log em cada componente de controle (vManage, vSmart e vBond). Como o comando subjacente é legítimo e o registro não distingue entre uso legítimo e mal-intencionado, qualquer entrada correspondente requer revisão manual pelo TAC contra sua postura operacional normal antes de ser tratada como um indicador confirmado.

Para o consultivo CVE-2026-20262, a análise é focada em vários arquivos no diretório /var/log/nms de cada Gerenciador (vManage). Em alguns casos, esses indicadores de comprometimento podem ocorrer durante operações padrão. 

Esses registros não fazem distinção entre uso legítimo e mal-intencionado; portanto, qualquer entrada correspondente requer revisão manual pelo TAC em relação à sua postura operacional normal antes de ser tratada como um indicador confirmado.

Possíveis resultados da análise do TAC:

  • Nenhuma entrada de log correspondente identificada — com base nos arquivos admin-tech revisados, nenhum indicador associado a nenhuma recomendação foi observado. No momento, não é necessária nenhuma outra ação específica para esses avisos. O resultado é limitado aos arquivos admin-tech recebidos e está sujeito ao período de retenção de log em cada dispositivo.
  • Correspondência das entradas de registro identificadas — O TAC envolve o usuário com etapas adicionais de revisão. Uma atualização para uma versão fixa é recomendada para ambos os consultivos. Devido à natureza dos avisos, ações adicionais também podem ser necessárias. A orientação do TAC para cenários de comprometimento confirmado está documentada nos artigos relacionados da TechZone mencionados na Etapa 4.
note-icon

Note: De acordo com o consultivo CVE-2026-20245, a exploração requer privilégios netadmin, enquanto o CVE-2026-20262 requer pelo menos uma conta de usuário de tarefa única com privilégios mais baixos. Um invasor não autenticado pode obter essas credenciais por meio de credenciais válidas ou da exploração de CVE-2026-20182 ou CVE-2026-20127. Se os componentes de controle tiverem sido atualizados para uma versão fixa para esses dois consultivos e nenhum indicador de comprometimento tiver sido identificado para os eventos anteriores, os caminhos de exploração não autenticados conhecidos para CVE-2026-20245 e CVE-2026-20262 serão atenuados nesses dispositivos específicos, com base nos arquivos analisados.

Passo 4: Se forem identificados indicadores de comprometimento — siga as diretrizes do TAC

Se o TAC identificar indicadores de comprometimento associados a essas recomendações em seu ambiente, o TAC entrará em contato com você para obter orientações específicas. Complete todas as instruções fornecidas pelo TAC.

Se nenhum indicador de comprometimento for identificado para nenhuma das recomendações, nenhuma ação adicional específica para a avaliação de comprometimento será necessária no momento, com base nos arquivos técnicos de administração revisados. Ainda é altamente recomendável atualizar para uma versão fixa para ambos os consultivos.

Versões de software fixo

Estas versões de software contêm correções para as vulnerabilidades identificadas:

Aplica-se às versões atuais Versão Fixa Software disponível
20.9.9.1 e anterior 20.9.9.2 20.9.9.2 imagens de atualização para vManage, vSmart e vBond
20.12.7.1 e anterior 20.12.7.2 20.12.7.2 imagens de atualização para vManage, vSmart e vBond
20.15.4.4 e anterior 20.15.4.5 20.15.4.5 imagens de atualização para vManage, vSmart e vBond
20.15.5.2 e anterior 20.15.5.3 20.15.5.3 imagens de atualização para vManage, vSmart e vBond
20.16, 20.17, 20.18.x 20.18.3.1 20.18.3.1 imagens de atualização para vManage, vSmart e vBond
26.1 26.1.1.2 26.1.1.2 imagens de atualização para vManage, vSmart e vBond

Referências importantes:

Considerações

Após a conclusão de uma correção bem-sucedida, e com base nos seus requisitos específicos de garantia de segurança, a Cisco recomenda que você avalie e aja de acordo com as atividades de higiene listadas aqui. Essas atividades se aplicam independentemente da opção de remediação selecionada. São gerenciados pelo usuário; A Cisco não os dirige ou executa em seu nome.

      • Revisão de todas as contas de usuário locais
      • Rotação de credenciais
      • Rotação de segredos presentes nas configurações do dispositivo, por exemplo (lista não exaustiva):
        • Credenciais para contas de usuário locais
        • Strings de comunidade SNMP
        • Chaves secretas TACACS
        • Certificados e chaves pré-compartilhadas de VPN
        • Chaves SSH confiáveis
      • Revisão dos modelos de configuração

Dispositivos de borda da rede — suspeita de comprometimento

A Cisco não recomenda um caminho de remediação específico; a seleção de uma opção de remediação é de cada cliente. 

note-icon

Note: Quando houver suspeita de comprometimento de um dispositivo de borda, a redefinição e a reintegração de fábrica do(s) dispositivo(s) de borda afetado(s) é uma ação gerenciada pelo cliente a ser levada em conta ao fazer sua seleção. A decisão de prosseguir com essa abordagem e qual opção selecionar é de cada cliente.

O comando apropriado para executar uma redefinição de fábrica segura é:

factory-reset all secure

Anexo: Etapas de verificação manual (somente se a coleta de Admin-Tech não for possível)

note-icon

Note: A coleção Admin-tech é o método preferido. Use apenas a etapa de verificação manual mostrada aqui se os arquivos admin-tech não puderem ser coletados e compartilhados com o TAC. O resultado desta etapa manual é preliminar; documentar as descobertas e compartilhá-las com o TAC, que realiza a avaliação oficial.

note-icon

Note: Para ambas as recomendações, a verificação manual consiste em verificações de log direcionadas. As entradas de log visadas por essas verificações são geradas por comandos legítimos e atividades, e os logs sozinhos não fazem distinção entre uso legítimo e mal-intencionado. Qualquer entrada correspondente deve ser analisada em relação à sua postura operacional normal antes de ser tratada como um indicador potencial. Se uma entrada correspondente não puder ser reconciliada com as operações normais, documente a descoberta e compartilhe-a com o TAC.

Verificação para CVE-2026-20245: Verifique scripts.log em cada componente de controle para Entradas de Carregamento de Arquivo

De acordo com a recomendação PSIRT, os usuários são encorajados a auditar arquivos de log para entradas semelhantes a este exemplo. Na versão 20.9 e posterior, essa entrada é encontrada em scripts.log em /var/log/. Em versões anteriores a 20.9, os dados equivalentes são encontrados nos logs vdebug em /var/log/tmplog/:

Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0

Passo 1: Acesse o vshell em cada componente de controle e pesquise os arquivos de log apropriados para indicadores CVE-2026-20245

O local do arquivo de registro depende da versão do software em execução no componente de controle. Determine o que se aplica ao seu ambiente antes de executar a pesquisa.

Versão 20.9 e posterior — Procure scripts.log no /var/log/tmplog/:

Na CLI do vManage, acesse vshell e execute:

vs
zgrep "vconfd_script_upload_tenant_list.sh" /var/log/scripts.log*

Versões anteriores a 20.9 — Procure os logs vdebug em /var/log/tmplog/:

Em versões anteriores a 20.9, scripts.log não está presente. Os dados de log equivalentes são gravados em /var/log/tmplog/vdebug. Até cinco arquivos de numeração deslocável são mantidos (vdebug, vdebug.1 a vdebug.5). Pesquisar todos os arquivos ativos com:

vs
zgrep "vconfd_script_upload_tenant_list.sh" /var/log/tmplog/vdebug*

Além dos arquivos ativos, os logs mais antigos são arquivados como arquivos tar compactados em /var/log/ usando o padrão de nomenclatura vdebug_<timestamp>.tar.gz, com os dados de log armazenados dentro do arquivo em var/log/tmplog. Pesquisar todos os arquivos com:

for f in /var/log/vdebug_*.tar.gz; do echo "=== $f ==="; tar -xOf "$f" var/log/tmplog 2>/dev/null | grep "vconfd_script_upload_tenant_list.sh"; done

Repita todas as verificações aplicáveis em cada componente de controle na implantação (incluindo todos os membros do cluster e qualquer vManage emparelhado com DR).

Passo 2: Interpretar resultados e documentos do TAC

Se NENHUMA entrada correspondente for retornada:

      • Nenhum indicador de comprometimento associado a este aviso foi observado no arquivo de log neste dispositivo.
      • Documente este resultado para seu caso TAC (inclua o nome de host do dispositivo e a data/intervalo dos arquivos de log pesquisados).
      • Continue a verificação nos gerentes restantes.

Se entradas correspondentes forem retornadas:

      • Cada entrada correspondente deve ser revisada de acordo com sua postura operacional normal. O comando subjacente (carregamento de lista de locatários) é legítimo e aparece durante operações de rotina.
      • Para cada entrada correspondente, capture o timestamp, a linha de registro completa e o caminho do arquivo referenciado após o -cli path.
      • Se uma entrada correspondente não puder ser reconciliada com uma operação conhecida e legítima, este é um indicador potencial de comprometimento. Documente a descoberta e forneça-a ao TAC para revisão.
      • Documente todas as descobertas e abra um caso de TAC. Inclua as entradas de registro correspondentes e a saída do comando source no seu caso.
      • O TAC realiza a avaliação oficial. Se a avaliação identificar indicadores de comprometimento, consulte o fluxo descrito nos documentos TechZone relacionados: e guias de correção.

Verificação para CVE-2026-20262: Verifique os arquivos de log em cada Gerenciador (vManage) para entradas de gravação de arquivo arbitrário

De acordo com a recomendação da PSIRT, os usuários são encorajados a auditar esses arquivos de log em cada Gerenciador (vManage) para entradas semelhantes a estes exemplos:

Exemplo de entrada suspeita em vmanage-server.log (localizado em /var/log/nms/)

11-June-2026 03:53:37,310 EDT INFO  [a66cdc5f-807d-4c23-944e-5c809a2ece6b] [server] [SdraAnyConnectFileUploadHandler] (default task-40704) |default| uploaded Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war to vManage.

Exemplo de entrada suspeita em vmanage-appserver.log (localizado em /var/log/nms/)

11-June-2026 07:52:55,275 UTC INFO  [server] (DeploymentScanner-threads - 2) WFLYSRV0010: Deployed "suspicious.war" (runtime-name : "suspicious.war")

Exemplo de entrada suspeita em serviceproxy-access.log (localizado em /var/log/nms/containers/service-proxy/)

POST /suspicious/index.jsp HTTP/1.1
note-icon

Note: Em versões anteriores a 20.9, o serviceproxy-access.log está localizado em /var/log/nms/ em vez de /var/log/nms/containers/service-proxy/.

Passo 1: Acesse o vshell em cada Gerenciador (vManage) e pesquise os arquivos de log

Na CLI do vManage, acesse vshell e execute :

vs
zgrep "SdraAnyConnectFileUploadHandler" /var/log/nms/vmanage-server.log*
zgrep "WFLYSRV0010" /var/log/nms/vmanage-appserver.log*

Em algumas versões, o log de proxy de serviço é acessível diretamente do vshell. Em versões em que o acesso ao shell raiz é necessário, baixe o admin-tech e pesquise os arquivos serviceproxy-access.log dentro dele da mesma maneira, usando um comando semelhante a:

Versão 20.9 e posterior:

tar -xOf .tar.gz var/log/nms/containers/service-proxy/serviceproxy-access.log 2>/dev/null | grep "suspicious"

Versões anteriores a 20.9:

tar -xOf .tar.gz var/log/nms/serverproxy-access.log 2>/dev/null | grep "suspicious"

Se estiver acessando diretamente do vshell, use o nome de arquivo .war identificado a partir dos resultados dos dois comandos anteriores (sem a extensão) em vez de suspeito:

Versão 20.9 e posterior:

zgrep "POST" /var/log/nms/containers/service-proxy/serviceproxy-access.log* | grep "suspicious"

Versões anteriores a 20.9:

zgrep "POST" /var/log/nms/serverproxy-access.log* | grep "suspicious"

Repita a verificação em cada vManage na implantação (incluindo todos os membros do cluster e qualquer vManage emparelhado com DR).

Passo 2: Interpretar resultados e documentos do TAC

Se NENHUMA entrada correspondente for retornada:

      • Nenhum indicador de comprometimento associado a este aviso foi observado nos arquivos de log deste dispositivo.
      • Documente este resultado para seu caso TAC (inclua o nome de host do dispositivo e a data/intervalo dos arquivos de log pesquisados).
      • Continue a verificação nos gerentes restantes.

Se entradas correspondentes forem retornadas:

      • Cada entrada correspondente deve ser revisada de acordo com sua postura operacional normal. Essas entradas podem ocorrer durante as operações padrão e não confirmam o comprometimento por conta própria.
      • Para cada entrada correspondente em vmanage-server.log, capture o carimbo de data/hora, a linha de log completa e o caminho do arquivo referenciado no manipulador de carregamento.
      • Se uma entrada correspondente não puder ser reconciliada com uma operação conhecida e legítima, este é um indicador potencial de comprometimento. Documente a descoberta e forneça-a ao TAC para revisão.
      • Documente todas as descobertas e abra um caso de TAC. Inclua as entradas de registro correspondentes e a saída do comando source no seu caso.
      • O TAC realiza a avaliação oficial. Se a avaliação identificar indicadores de comprometimento, consulte o fluxo descrito nos documentos TechZone relacionados: e guias de correção.

Perguntas mais freqüentes

P: Qual é a primeira etapa para lidar com esses avisos de segurança?

R: Colete arquivos técnicos de administração de todos os componentes de controle (vSmart, vManage, vBond) antes de qualquer atualização ou alteração de configuração para preservar dados de diagnóstico e quaisquer indicadores potenciais de comprometimento. Em seguida, abra um caso do Cisco TAC e faça upload dos técnicos administrativos para que o TAC possa analisá-los.

P: A Cisco lançou uma correção de software para essas vulnerabilidades?

R: Sim, as versões fixas estão disponíveis para ambas as recomendações, conforme listado na seção Versões de software fixas. Não há soluções alternativas.

P: Por que a Cisco recomenda tomar medidas além da atualização?

R: A exploração dessas vulnerabilidades exige um usuário autenticado. Um invasor não autenticado pode obter essas credenciais somente por meio de credenciais válidas ou por meio da exploração de CVE-2026-20182 ou CVE-2026-20127. Garantir que os componentes de controle sejam atualizados para as versões fixas desses avisos anteriores aborda os caminhos não autenticados conhecidos para obter os privilégios necessários para explorar essas vulnerabilidades. A análise admin-tech na Etapa 3 ajuda a determinar se algum indicador de comprometimento está presente nos arquivos revisados.

P: Preciso coletar técnicos de administração de todos os componentes do controle?

R: Yes. O TAC exige arquivos técnicos de administração de todos os controladores (vSmart, coletados um de cada vez), todos os gerentes (vManage) e todos os validadores (vBond) para executar a análise.

P: Como o TAC determina se meu sistema tem indicadores de comprometimento associados a essas recomendações?

R: O TAC analisa os arquivos de administração técnica para obter indicadores de comprometimento específicos para cada consultoria. Para a recomendação de escalação de privilégio (CVE-2026-20245), o TAC procura entradas de log específicas em /var/log/scripts.log em cada componente de controle. Para a recomendação de gravação de arquivo arbitrário (CVE-2026-20262), o TAC procura entradas de log específicas em três arquivos de log em cada Gerenciador: /var/log/nms/vmanage-server.log, /var/log/nms/vmanage-appserver.log e /var/log/nms/containers/service-proxy/serviceproxy-access.log. Em ambos os casos, a atividade subjacente pode ocorrer durante operações normais; todas as entradas correspondentes são analisadas pelo TAC em relação à sua postura operacional normal antes de serem tratadas como um indicador confirmado.

P: O que acontece se forem identificados indicadores de comprometimento?

R: O TAC entra em contato com você com orientações específicas. A atualização por si só não resolve um comprometimento confirmado. As orientações do TAC são baseadas no fluxo documentado nos artigos relacionados da TechZone para os avisos de maio de 2026 e fevereiro de 2026.

P: Os roteadores de borda (Cisco IOS XE) são afetados por essas recomendações?

R: Essas recomendações afetam principalmente os componentes de controle do Cisco Catalyst SD-WAN. Para o aviso de escalonamento de privilégio (CVE-2026-20245), todos os componentes de controle (vManage, vSmart, vBond) são afetados, e a Cisco observou casos limitados em que a exploração resultou em uma alteração de configuração sendo enviada para dispositivos de borda; os usuários são incentivados a verificar a configuração de seus dispositivos de borda. Para o consultivo de gravação de arquivo arbitrário (CVE-2026-20262), a vulnerabilidade é limitada ao sistema de arquivos do SD-WAN Manager e não afeta diretamente os dispositivos de borda.

P: Quais tipos de implantação são afetados?

R: De acordo com essas recomendações, essas vulnerabilidades afetam todos os tipos de implantação do Cisco Catalyst SD-WAN, independentemente da configuração do dispositivo, incluindo a implantação no local, o Cisco SD-WAN Cloud-Pro, o Cisco SD-WAN Cloud (Cisco Managed) e o Cisco SD-WAN for Government (FedRAMP).

P: Já atualizei para os consultivos de maio de 2026 e fevereiro de 2026 e não foram identificados indicadores de compromisso para esses eventos. Estou exposto a essas novas vulnerabilidades?

R: Se seus componentes de controle estiverem executando uma versão fixa para CVE-2026-20182 e CVE-2026-20127 e nenhum indicador de comprometimento tiver sido identificado para esses eventos anteriores nos arquivos admin-tech analisados, os caminhos de exploração não autenticados conhecidos para CVE-2026-20245 e CVE-2026-20262 serão mitigados nesses dispositivos específicos, com base nos arquivos analisados. Isso não elimina a exposição quando um invasor tem credenciais válidas. A Cisco recomenda que você atualize para uma versão fixa para esses avisos.

P: Posso fazer a verificação sozinho em vez de esperar pelo TAC?

R: Os usuários que não podem compartilhar técnicos de administração podem executar a etapa de verificação manual descrita no Apêndice. O resultado é preliminar; documentar as descobertas e compartilhá-las com o TAC, que realiza a avaliação oficial.

P: Quais são as práticas recomendadas gerais para fortalecer minha sobreposição de SD-WAN?

R: Consulte o Guia de Proteção de SD-WAN do Cisco Catalyst para obter as melhores práticas.

P: O Cisco TAC oferece análise forense ou serviços de investigação para essas vulnerabilidades?

R: O TAC da Cisco pode ajudar os usuários revisando os arquivos técnicos de administração para obter os indicadores de comprometimento documentados em ambos os avisos PSIRT. O Cisco TAC não realiza análises forenses detalhadas ou investigações de incidentes. Para um trabalho de computação forense abrangente ou investigações de segurança detalhadas, os usuários são incentivados a entrar em contato com a empresa de terceiros de resposta a incidentes (IR) de sua preferência.

Histórico de revisões

Revisão Data de publicação Comentários
8.0
22-Jun-2026
Etapas de verificação atualizadas para liberação anterior a 20.9
7.0
16-Jun-2026
Atualização do Apêndice para incluir informações adicionais
6.0
16-Jun-2026
Informações adicionadas para CVE-2026-20262
5.0
12-Jun-2026
Versões de software fixas adicionadas.
4.0
11-Jun-2026
26.1.1.2 imagem liberada
3.0
10-Jun-2026
Adicionada a versão fixa 20.18.3.1
2.0
05-Jun-2026
Atualização da documentação
1.0
05-Jun-2026
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Eliel Garcia
    Consultoria técnica Engenharia Líder técnico
  • Andy Rook
    Consultoria técnica Engenharia Líder técnico
  • Kendra Dodson
    Consultoria técnica Engenharia Líder técnico

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos