Cisco تأیید کرد دو آسیبپذیری در Catalyst SD-WAN Manager با شناسههای CVE-2026-20122 و CVE-2026-20128 در حملات واقعی مورد سوءاستفاده قرار گرفتهاند.
شرکت Cisco اعلام کرد دو آسیبپذیری در سامانه مدیریت شبکه Catalyst SD-WAN Manager در حال حاضر در حملات واقعی مورد بهرهبرداری قرار گرفتهاند. نقص CVE-2026-20122 امکان بازنویسی فایلهای سیستم را فراهم میکند و CVE-2026-20128 میتواند به افشای اطلاعات و ارتقای سطح دسترسی منجر شود. این شرکت پیشتر بروزرسانی امنیتی برای این نقصها منتشر کرده و از سازمانها خواسته است فوراً سیستمهای خود را به نسخههای اصلاحشده ارتقا دهند.
شرکت Cisco Systems اعلام کرد دو آسیبپذیری امنیتی در سامانه Cisco Catalyst SD-WAN Manager که پیشتر با نام SD-WAN vManage شناخته میشد، اکنون در حملات واقعی مورد بهرهبرداری قرار گرفتهاند.
این آسیبپذیریها با شناسههای CVE-2026-20122 و CVE-2026-20128 رهگیری میشوند و هر دو در محیطهای سازمانی که از راهکار مدیریت SD-WAN سیسکو استفاده میکنند، میتوانند پیامدهای امنیتی جدی ایجاد کنند.
جزئیات فنی آسیبپذیریها
نقص امنیتی CVE-2026-20122 با امتیاز ۷.۱ در مقیاس CVSS یک آسیبپذیری Arbitrary File Overwrite محسوب میشود. این ضعف میتواند به یک مهاجم احراز هویتشده از راه دور اجازه دهد فایلهای دلخواه را در سیستم فایل محلی بازنویسی کند. مهاجم فقط با سطح Read-Only معتبر، همراه با دسترسی API در سیستم هدف امکان نفوذ از این نقص را دارد.
آسیبپذیری دوم با شناسه CVE-2026-20128 و امتیاز ۵.۵ یک نقص Information Disclosure است که میتواند به مهاجم محلی احراز هویتشده اجازه دهد سطح دسترسی Data Collection Agent (DCA) را در سیستم افزایش دهد. برای اجرای این حمله نیز وجود اعتبارنامه معتبر vManage ضروری است.
نسخههای اصلاحشده و وصلههای امنیتی
Cisco اواخر ماه گذشته میلادی(FEB 2026) وصلههای امنیتی(بروزرسانی امنیتی) برای این نقصها و چند آسیبپذیری مرتبط دیگر از جمله CVE-2026-20126، CVE-2026-20129 و CVE-2026-20133 منتشر کرد.
نسخههای اصلاحشده شامل موارد زیر هستند:
- نسخههای قبل از 20.9.1: مهاجرت به نسخه اصلاحشده توصیه میشود
- نسخه 20.9: اصلاح در 20.9.8.2
- نسخه 20.11: اصلاح در 20.12.6.1
- نسخه 20.12: اصلاح در 20.12.5.3 و 20.12.6.1
- نسخههای 20.13، 20.14 و 20.15: اصلاح در 20.15.4.2
- نسخه 20.16: اصلاح در 20.18.2.1
- نسخه 20.18: اصلاح در 20.18.2.1
Cisco اعلام کرد که در مارس ۲۰۲۶ تیم امنیتی PSIRT از بهرهبرداری فعال از آسیبپذیریهای CVE-2026-20122 و CVE-2026-20128 مطلع شده است، هرچند جزئیات بیشتری درباره مقیاس حملات یا عاملان آن منتشر نشده است.
افزایش سریع حملات در سطح جهانی
طبق گزارش watchTowr، فعالیت مهاجمان به سرعت افزایش یافته است.
به گفته Ryan Dewhurst، تحلیلگر ارشد اطلاعات تهدید در این شرکت، تلاشهای حمله از تعداد زیادی آدرس IP مختلف مشاهده شده و مهاجمان در برخی موارد اقدام به استقرار Web Shell در سیستمهای هدف کردهاند.
وی اعلام کرد بیشترین اوج فعالیت حملات در ۴ مارس ۲۰۲۶ مشاهده شده و این حملات در مناطق مختلف جهان پراکنده بودهاند، با این حال فعالیتها در ایالات متحده کمی بیشتر از سایر مناطق بوده است.
به گفته کارشناسان، در شرایطی که بهرهبرداری انبوه و فرصتطلبانه در جریان است، هر سامانه متصل به اینترنت باید بهعنوان سیستم بالقوه نفوذشده در نظر گرفته شود تا زمانی که خلاف آن ثابت شود.
آسیبپذیریهای بحرانی دیگر در محصولات Cisco
همزمان با این گزارش، Cisco همچنین وصلههایی برای دو آسیبپذیری بسیار بحرانی در سامانه Cisco Secure Firewall Management Center منتشر کرد.
این آسیبپذیریها با شناسههای CVE-2026-20079 و CVE-2026-20131 دارای امتیاز ۱۰.۰ هستند و میتوانند به مهاجم غیرمجاز اجازه دهند احراز هویت را دور زده و کد Java دلخواه را با دسترسی root اجرا کند.
توصیههای امنیتی
Cisco از سازمانها خواسته است در اسرع وقت سیستمهای خود را به نسخههای اصلاحشده ارتقا دهند و اقدامات زیر را انجام دهند:
- محدود کردن دسترسی از شبکههای غیرایمن
- قرار دادن تجهیزات پشت فایروال
- غیرفعال کردن HTTP در پنل مدیریتی
- خاموش کردن سرویسهایی مانند HTTP و FTP در صورت عدم نیاز
- تغییر رمز عبور پیشفرض مدیر سیستم
- پایش مستمر لاگها برای شناسایی ترافیک مشکوک