Cisco ha divulgato il 15 giugno 2026 CVE-2026-20262, vulnerabilità di path traversal nel web UI di Catalyst SD-WAN Manager. Un attaccante autenticato con accesso in scrittura può creare o sovrascrivere file arbitrari sul filesystem sottostante; il file creato può essere usato per elevare i privilegi a root. La vulnerabilità era già sfruttata in-the-wild quando è stata scoperta durante internal security testing di Cisco. È l'ottava vulnerabilità SD-WAN attivamente sfruttata nel 2026.
- CVE-2026-20262 ha CVSS 6.5 (medium): richiede credenziali valide con accesso in scrittura, permette arbitrary file write con conseguente elevazione a root
- Gli indicatori di compromissione più antichi datano all'11 giugno 2026, con upload di file .war in /var/lib/wildfly/standalone/deployments/ e deploy automatico su WildFly
- Le patch coprono sei release specifiche (20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2), identiche a quelle rilasciate per CVE-2026-20245 due settimane prima
- CISA ha inserito CVE-2026-20262 nel KEV catalog il 15 giugno 2026 con deadline al 29 giugno 2026: le federal agencies hanno 14 giorni per patchare, senza workaround alternativi
Il meccanismo: path traversal con arbitrary file write
La vulnerabilità risiede nella validazione insufficiente dell'input utente durante una procedura di file upload nel web UI di Catalyst SD-WAN Manager. Secondo l'advisory ufficiale Cisco, un attaccante autenticato con almeno accesso in scrittura può costruire una richiesta HTTP con directory traversal (../../../../) per forzare la scrittura di file al di fuori della directory prevista.
Il percorso target osservato nei log è /var/lib/wildfly/standalone/deployments/, directory monitorata dall'application server Java WildFly. I file .war depositati in questa directory vengono automaticamente deployati come applicazione web. L'advisory Cisco indica esplicitamente: "A successful exploit could allow the attacker to create or overwrite any file on the underlying operating system. This file could later be used to elevate to root."
La privilege escalation richiede azioni successive non dettagliate nelle fonti. La vulnerabilità richiede credenziali valide: non è un exploit pre-autenticato. Questo vincolo limita la superficie di attacco ma non la gravità, dato che le credenziali compromesse sono un vettore consolidato nelle intrusioni su infrastrutture di management.
Timeline e indicatori di compromissione
Cisco PSIRT è divenuta aware di "limited exploitation" nel giugno 2026. La vulnerabilità è stata trovata durante "internal security testing". La sequenza — exploitation in-the-wild precedente o contemporanea alla discovery interna — è documentata nelle fonti come dato di fatto.
Gli indicatori di compromissione più antichi risalgono all'11 giugno 2026 alle 03:53 EDT. Il log vmanage-server.log registra l'upload di "Remote Access Anyconnect profile file: ../../../../var/lib/wildfly/standalone/deployments/suspicious.war". Successivamente, vmanage-appserver.log conferma "Deployed suspicious.war", mentre serviceproxy-access.log documenta una richiesta POST /suspicious/index.jsp da IP 1.1.1.54, sempre datata 11 giugno.
Le fonti non specificano quando esattamente sia iniziata l'exploitation. Non emergono sovrapposizioni infrastrutturali che colleghino CVE-2026-20262 a UAT-8616 o ad altri threat actor allo stato attuale. La fonte The Hacker News suggerisce un'attribuzione parziale a UAT-8616, ma le altre fonti mantengono cautela su questo punto.
Il pattern: otto vulnerabilità SD-WAN nel 2026
CVE-2026-20262 è l'ottava vulnerabilità Cisco SD-WAN attivamente sfruttata nel 2026. L'elenco comprende CVE-2026-20245, CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133, CVE-2026-20262 e CVE-2022-20775. Quest'ultima è del 2022, usata in catena da UAT-8616; non è una nuova vulnerabilità del 2026.
"Whether all of these vulnerabilities have been leveraged by the same threat group remains unknown, but the sustained, methodical focus on the platform suggests a determined adversary with deep familiarity with Cisco's SD-WAN architecture" — Help Net Security
La concentrazione di attacchi su una singola piattaforma di management plane è documentata nelle fonti. CVE-2026-20245, divulgata il 5 giugno, presenta un pattern tecnicamente analogo: accesso autenticato al management plane con exploitation dello stesso componente. Le patch per entrambe le vulnerabilità coprono le stesse sei release, ma le fonti non confermano se le due vulnerabilità fossero state corrette simultaneamente durante lo stesso ciclo di sviluppo.
Cosa fare adesso
Le release da verificare sono 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2. Cisco dichiara esplicitamente che non esistono workaround: il patching è l'unica mitigazione disponibile.
Per le federal agencies US: CISA ha attivato la procedura BOD 26-04 con remediation deadline al 29 giugno 2026. Il periodo di 14 giorni riflette il risk-based patching introdotto dalla direttiva. Help Net Security nota: "The 14-days-long remediation period is consistent with the requirements laid out in CISA's new Binding Operational Directive, which orders agencies to prioritize security updates based on risk."
I team SOC dovrebbero cercare nei log vmanage-server.log, vmanage-appserver.log e serviceproxy-access.log pattern di upload in /var/lib/wildfly/standalone/deployments/ e richieste POST sospette verso path .war non autorizzati. Gli IoC pubblicati da Cisco includono timestamp precisi che consentono fine-tuning delle query di detection.
Analisi: limiti noti
Le seguenti affermazioni sono inferenze editoriali basate sui pattern documentati, non fatti verificati nel brief:
- Se CVE-2026-20262 sia stata chained con altre vulnerabilità oltre alla compromissione credenziali
- Se lo stesso threat group (UAT-8616 o altri) sia responsabile di CVE-2026-20262
- Se le patch per CVE-2026-20245 e CVE-2026-20262 fossero sviluppate simultaneamente
- Quando esattamente sia iniziata l'exploitation (prima dell'11 giugno 2026?)
- Se la vulnerabilità sia stata scoperta indipendentemente dagli attacker o derivata da patch precedenti
L'attribuzione a threat actor specifici rimane non confermata: le fonti non documentano sovrapposizioni tattiche o infrastrutturali tra gli IoC di CVE-2026-20262 e campagne attribuite pubblicamente. La mancanza di workaround e la deadline CISA di 14 giorni rendono il patching prioritario per tutte le organizzazioni che gestiscono istanze di Catalyst SD-WAN Manager nelle release interessate.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.helpnetsecurity.com/2026/06/16/cisco-sd-wan-cve-2026-20262-exploited/
- https://thehackernews.com/2026/06/cisco-releases-security-updates-for.html
- https://www.securityweek.com/cisco-patches-another-sd-wan-zero-day-exploited-in-attacks/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-arbfw-c2rZvQ
- https://www.cisa.gov/news-events/alerts/2026/06/15/cisa-adds-two-known-exploited-vulnerabilities-catalog
- https://thehackernews.com/2026/06/servicenow-flaw-exploited-to-gain.html
- https://www.helpnetsecurity.com/2026/06/05/cisco-sd-wan-cve-2026-20245-0-day-exploited/
- https://www.helpnetsecurity.com/2026/06/11/cisa-risk-based-vulnerability-management-government/
- https://www.helpnetsecurity.com/2026/05/15/cisco-sd-wan-zero-day-cve-2026-20182/