一年七个零日!Cisco SD-WAN为何成为黑客的头号靶标
深度解析CVE-2026-20245:从认证绕过到root提权的完整攻击链
2026年6月5日,Cisco发布了一则令人不安的安全公告:其Catalyst SD-WAN Manager中存在一个已被积极利用的高危漏洞(CVE-2026-20245),CVSS评分7.8,而且——没有补丁。
这不是孤立事件。这只是2026年以来Cisco SD-WAN产品线被标记为”已积极利用”的第七个漏洞。从CVE-2026-20127到CVE-2026-20245,一条清晰的攻击链正在浮出水面。企业网络的基础设施层,正在经历前所未有的安全考验。
一、CVE-2026-20245:没有补丁的”已利用”标签
Cisco在公告中的措辞值得细读:“Catalyst SD-WAN Manager CLI中存在的输入验证不足漏洞,可允许已认证的本地攻击者通过上传恶意文件,以root权限执行任意命令。”
听起来需要先获得认证权限?门槛似乎不低。但Cisco紧接着补充了一句关键的上下文:“攻击者需要netadmin权限。这需要有效凭证,或者利用CVE-2026-20182或CVE-2026-20127。”
这三个CVE编号连在一起,就是一条完整的攻击链——从远程未认证到root权限的完整路径。
受影响的部署类型覆盖面极广: – 本地部署(On-Prem) – Cisco SD-WAN Cloud-Pro – Cisco SD-WAN Cloud(Cisco托管) – Cisco SD-WAN for Government(FedRAMP)
也就是说,无论是自建还是云托管,无论是企业还是政府机构,只要使用Cisco SD-WAN,都在攻击面之内。
更令人担忧的是,Cisco明确表示”目前没有补丁或缓解措施”。唯一的建议是:先打上5月14日发布的CVE-2026-20182补丁,堵住认证绕过的入口。但即使打上这个补丁,拥有netadmin权限的内部威胁或已获取凭证的攻击者依然可以利用CVE-2026-20245。
二、七连零日:从2023年开始的潜伏攻击
将这七个漏洞按时间线排列,一个完整的攻击故事浮现出来:
2023年——威胁组织UAT-8616首次利用CVE-2026-20127,这是一个SD-WAN Controller的认证绕过漏洞。攻击在暗中持续了超过两年。
2026年2月——Cisco披露CVE-2026-20127,同时披露CVE-2022-20775(另一SD-WAN漏洞)也被积极利用。安全社区开始关注SD-WAN攻击面。
2026年5月——Rapid7披露CVE-2026-20182(CVSS 10.0满分的认证绕过漏洞),影响SD-WAN Controller。Cisco确认该漏洞已被积极利用。同月,CVE-2026-20122、CVE-2026-20128、CVE-2026-20133也被标记为已积极利用。
2026年6月——CVE-2026-20245被披露,已被积极利用。Google Mandiant研究人员发现攻击者已通过该漏洞将配置变更推送到边缘设备。
这条攻击链的逻辑是清晰的:
- 初始访问:利用CVE-2026-20127或CVE-2026-20182绕过认证,获取管理权限(无需任何凭证)
- 权限提升:利用CVE-2026-20245上传恶意文件,从netadmin提权到root
- 横向移动:以root权限修改SD-WAN配置,将恶意变更推送到所有边缘设备
- 持久控制:控制SD-WAN Manager意味着控制整个企业广域网的流量路由
Cisco在公告中提供了一个关键指标——检查/var/log/scripts.log文件中的可疑条目。如果出现类似vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv的日志,说明系统已被入侵。
三、为什么SD-WAN成为攻击者的”皇冠上的宝石”?
SD-WAN(软件定义广域网)是现代企业网络的中枢神经。它管理着分支机构、数据中心和云环境之间的所有流量路由。控制SD-WAN Manager,就等于控制了企业的整个网络拓扑。
攻击者选择SD-WAN作为目标,有三个战略层面的原因:
第一,集中控制意味着集中风险。 SD-WAN的核心理念是集中管理——一个Manager控制所有边缘设备。攻破一个节点,影响全网。这种架构的效率优势,在安全视角下变成了单点故障。
第二,网络设备通常位于安全监控的盲区。 大多数企业的SOC(安全运营中心)重点监控终端、服务器和云环境。网络基础设施层——路由器、交换机、SD-WAN Controller——往往缺少同等程度的监控和日志采集。攻击者在网络设备上活动的检测窗口更大。
第三,补丁部署周期长。 网络设备的补丁通常需要维护窗口,需要测试兼容性,需要逐台部署。Cisco的SD-WAN Manager补丁从发布到全面部署,在企业环境中通常需要数周甚至数月。这个窗口期就是攻击者的黄金时间。
四、企业防护:在补丁到来之前能做什么?
CVE-2026-20245没有补丁的现实,意味着企业必须在”带伤运行”的状态下寻找防护方案。
立即行动: 1. 优先修补CVE-2026-20182。虽然这不直接修复CVE-2026-20245,但堵住了最关键的远程认证绕过入口。没有这个入口,攻击者就需要合法凭证才能继续。 2. 检查IoC指标。立即检查所有SD-WAN Manager的/var/log/scripts.log文件,搜索Cisco提供的可疑日志模式。 3. 限制SD-WAN Manager的网络暴露。确保Manager不直接暴露在公网上。Cisco明确警告”互联网暴露的系统面临更高的被入侵风险”。 4. 审查netadmin权限账户。CVE-2026-20245需要netadmin权限,审查谁拥有这个权限,是否有异常的登录行为。
中期加固: 5. 实施网络分段。将SD-WAN管理平面与数据平面隔离,限制管理接口只从受信任的管理网络访问。 6. 增强日志监控。将SD-WAN设备的日志接入SIEM,设置针对CLI操作和配置变更的告警规则。 7. 建立补丁应急流程。网络设备的补丁不能再走常规的月度维护窗口。针对积极利用的漏洞,需要建立快速补丁通道。
长期战略: 8. 重新评估SD-WAN架构。考虑分布式管理架构,减少单点风险。评估零信任网络架构(ZTNA)作为SD-WAN的补充或替代。 9. 网络基础设施安全常态化。将网络设备纳入与终端和服务器同等的安全监控级别。定期的网络设备安全评估应该成为常态。
五、结语:基础设施安全不能是”后来补上的课”
Cisco SD-WAN的七连零日不是一家公司的产品问题,而是整个行业面临的架构性挑战。当软件定义一切的时候,软件的漏洞就成了物理世界的风险。
SD-WAN、SD-LAN、软件定义数据中心——这些技术的核心承诺是”集中控制、简化运维”。但集中控制也意味着集中风险,简化运维也可能意味着简化了安全防护。
2026年的网络安全格局正在发生深刻变化。攻击者不再满足于窃取数据,他们开始瞄准控制基础设施本身。Cisco SD-WAN的遭遇是一个警示:基础设施层的安全投入,必须与基础设施的集中化程度成正比。
对于正在使用Cisco SD-WAN的企业,此刻最紧迫的行动只有一个:打上CVE-2026-20182的补丁,然后检查日志。补丁之外的漏洞,只能用 vigilance(警觉)来弥补。
参考来源:Cisco Security Advisory、The Hacker News、Rapid7、Google Mandiant 免责声明:本文仅作技术分析和信息分享,不构成任何商业建议。
