思科 Catalyst SD - WAN 控制器身份验证绕过漏洞遭主动利用，攻击者借此获取管理员权限

思科发布了更新，以修复 Catalyst SD - WAN 控制器中一个最高严重级别的身份验证绕过漏洞，该公司表示此漏洞已在有限的攻击中被利用。

该漏洞编号为 CVE - 2026 - 20182，CVSS 评分为 10.0。

思科称：“思科 Catalyst SD - WAN 控制器（原 SD - WAN vSmart）和思科 Catalyst SD - WAN 管理器（原 SD - WAN vManage）中的对等身份验证存在漏洞，未经身份验证的远程攻击者可利用该漏洞绕过身份验证，并在受影响的系统上获取管理权限。”

这家网络设备巨头表示，该漏洞源于对等身份验证机制故障，攻击者可通过向受影响系统发送特制请求来利用此漏洞。

成功利用该漏洞可使攻击者以内部高权限非 root 用户账户登录思科 Catalyst SD - WAN 控制器，进而利用其访问 NETCONF 并操控 SD - WAN 架构的网络配置。

该漏洞影响以下部署：

• 本地部署

• 思科 SD - WAN Cloud - Pro

• 思科 SD - WAN Cloud（思科托管）

• 思科面向政府的 SD - WAN（FedRAMP）

发现 CVE - 2026 - 20182 的 Rapid7 公司称，此漏洞与 CVE - 2026 - 20127（CVSS 评分：10.0）存在相似之处，后者也是影响同一组件的严重身份验证绕过漏洞。据称，至少从 2023 年起，名为 UAT - 8616 的威胁行为者就已利用过 CVE - 2026 - 20127。

Rapid7 的研究人员乔纳・伯吉斯（Jonah Burgess）和斯蒂芬・费尔（Stephen Fewer）表示：“这个新的身份验证绕过漏洞影响基于 DTLS（UDP 端口 12346）的‘vdaemon’服务，该服务同样受 CVE - 2026 - 20127 漏洞影响。此新漏洞并非 CVE - 2026 - 20127 的补丁绕过漏洞，而是位于‘vdaemon’网络堆栈类似部分的不同问题。”

尽管如此，最终结果是一样的：远程未经验证的攻击者可利用 CVE - 2026 - 20182 成为目标设备的已验证对等方，并执行特权操作。

思科在其公告中指出，2026 年 5 月已察觉到该漏洞被 “有限利用”，敦促客户尽快应用最新更新。

该公司还表示，可通过互联网访问且端口暴露的 Catalyst SD - WAN 控制器系统遭受攻击的风险更高。

另一个指标是日志中存在可疑的对等连接事件，包括在意外时间发生、源自无法识别的 IP 地址的未经授权对等连接，或涉及与环境架构不一致的设备类型的连接。