更新時間:2026/05/18 12:28:42
發佈時間:2026/05/18 12:28:42
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Cisco Catalyst SD-WAN Controller 與 Cisco Catalyst SD-WAN Manager 存在一項對等連線(peering)驗證機制漏洞(CVE-2026-20182)。未經驗證的遠端攻擊者可利用此漏洞繞過身分驗證取得高權限。成功利用後,攻擊者可登入受影響的 Cisco Catalyst SD-WAN Controller,並取得一組內部高權限但非 root 的使用者帳號,並透過該帳號進一步存取 NETCONF 介面,進而竄改 SD-WAN 架構中的網路設定與組態。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[2]
2. Cisco PSIRT確認已遭野外利用。
▶ 漏洞資訊
⌵
名稱:
CVE-2026-20182
描述:
使用版本:CVSS 3.1
分析分數:10
參考來源:Cisco
▶ 影響平台
⌵
影響平台-系統:
Cisco Catalyst SD-WAN Manager 與 Cisco Catalyst SD-WAN Controller以下版本受到影響,並建議升級至修復版本:
20.9前版本,及20.11、20.13、20.14、20.16系列版本已停止維護,建議升級至支援版本。
20.9系列:建議升級至20.9.9.1或以上版本。
20.10系列:建議升級至20.12.7.1或以上版本。
20.12.5系列:建議升級至20.12.5.4或以上版本。
20.12.6系列:建議升級至20.12.6.2或以上版本。
20.12.7系列:建議升級至20.12.7.1或以上版本。
20.15.4系列:建議升級至20.15.4.4或以上版本。
20.15.5系列:建議升級至20.15.5.2或以上版本。
20.18系列:建議升級至20.18.2.2或以上版本。
26.1系列:建議升級至26.1.1.1或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
2. 由於 Cisco Talos 已確認本漏洞存在野外利用情形,建議會員除進行版本升級外,亦應檢查是否存在遭入侵跡象,若有,建議進一步通報 Cisco TAC 進行調查:
(1) 建議檢視 /var/log/auth.log,確認是否存在來自未知或未授權 IP 位址之 Accepted publickey for vmanage-admin 登入紀錄,並比對來源 IP 是否屬於組織已授權之 Cisco Catalyst SD-WAN 裝置或管理來源。
(2) 建議檢視 SD-WAN peering 相關日誌,確認 peering 事件之時間、來源 Public IP、System IP 與 Peer Type(如 vmanage、vsmart、vedge、vbond)是否符合既有網路架構與維運行為,並留意異常時間、未知來源 IP 或非預期裝置類型之連線事件。
(3) 建議使用 show control connections detail 或 show control connections-history detail 指令,確認控制連線是否存在 state: up 且 challenge-ack : 0 之異常情形;若發現相關紀錄,可能代表控制平面遭未授權存取。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW | Cisco |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
情資編號:
FISAC-200-202605-0007
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞