Cisco ha confermato l'8 giugno 2026 che CVE-2026-20245, vulnerabilità zero-day nel Catalyst SD-WAN Manager, è attivamente sfruttata nel campo per ottenere privilegi di root. Non esistono patch né contromisure ufficiali. L'azienda raccomanda unicamente misure di rilevamento e preservazione forense, lasciando i team di sicurezza enterprise senza opzioni definitive di mitigazione.
- CVE-2026-20245 ha CVSS 7.8 (High): escalation a root via command injection in upload di file craftato, richiede privilegi netadmin iniziali
- Cisco PSIRT ha osservato casi limitati in cui l'exploit ha causato modifiche di configurazione propagate ai dispositivi edge della rete
- Settima zero-day Cisco SD-WAN nel 2026, a conferma di un pattern di attenzione ostile sostenuta verso il piano di controllo SD-WAN
- Nessuna patch disponibile al 5-8 giugno 2026; Cisco consiglia l'applicazione dell'aggiornamento per CVE-2026-20182 (rilasciato il 14 maggio) come passo intermedio di protezione
Come funziona l'attacco: dalla validazione mancata al root
La falla risiede in un'insufficiente validazione dell'input utente nella funzionalità CLI di upload file di Cisco Catalyst SD-WAN Manager, precedentemente noto come vManage. Un attaccante con privilegi netadmin carica un file craftato che viene processato da script di sistema — tra cui vconfd_script_upload_tenant_list.sh, vconfd_script_upload_vsmart_serial_numbers.sh e vconfd_script_upload_chassis_number_file.sh — con parametri non previsti che attivano l'injection di comandi shell.
L'esecuzione avviene con i permessi dell'utente root, il massimo livello sul sistema operativo sottostante. Cisco ha documentato che la compromissione del manager può tradursi in modifiche di configurazione inviate ai dispositivi edge: una capacità che trasforma un singolo punto di ingresso in un vettore di controllo distribuito sull'intera infrastruttura WAN.
"Cisco has observed limited cases where the exploitation of this bug resulted in a configuration change pushed to edge devices" — Cisco PSIRT, via BleepingComputer
La catena di exploit: autenticazione prima, escalation dopo
Il requisito dei privilegi netadmin non rende la vulnerabilità marginale. Cisco ha dichiarato esplicitamente che l'attaccante deve disporre di credenziali valide oppure sfruttare CVE-2026-20182 o CVE-2026-20127, entrambe con CVSS 10.0 (Critical) e classificate come bypass dell'autenticazione. La struttura tipica dell'attacco è quindi una catena: prima il compromesso iniziale tramite vulnerabilità con accesso di rete non autenticato, poi l'escalation a root locale.
Questo schema riflette un'evoluzione tattica osservata nella minaccia persistente avanzata. Gli attori ostili investono in vulnerabilità di accesso iniziale nei prodotti edge e di gestione di rete, poi consolidano la presenza con exploit di privilege escalation per ottenere persistenza e capacità di movimento laterale. La convergenza di CVE-2026-20182/20127 con CVE-2026-20245 offre esattamente questa traiettoria.
Cisco non ha reso noto se l'exploitation osservata utilizzi esclusivamente la catena CVE-2026-20182 → CVE-2026-20245 oppure anche credenziali rubate. Il dossier non specifica inoltre l'identità dell'attore dietro gli attacchi correnti: il gruppo UAT-8616 è stato associato a CVE-2026-20127, ma nessuna sovrapposizione infrastrutturale documenta il collegamento con CVE-2026-20245 allo stato attuale.
Un obiettivo sistemico: perché proprio SD-WAN Manager
Catalyst SD-WAN Manager controlla fino a 6.000 dispositivi edge per istanza. La compromissione del piano di gestione non è un incidente perimetrale: è un punto di influenza sulla topologia, sulle policy di routing, sulla segmentazione e potenzialmente sul traffico in transito. Tutte le modalità di deployment sono vulnerabili: on-premises, Cloud-Pro, Cisco Managed Cloud e ambienti FedRAMP, quest'ultimo con implicazioni per la sicurezza nazionale statunitense.
La sequenza di sette zero-day Cisco SD-WAN nel 2026 — CVE-2026-20245 è la settima — segnala un interesse ostile strutturato e prolungato verso questa superficie d'attacco. Il pattern ricorda la concentrazione di exploit su Pulse Secure e Citrix ADC negli anni precedenti, quando prodotti di accesso remoto e gateway di perimetro divennero obiettivi preferenziali per l'accesso iniziale a reti enterprise e governative. SD-WAN Manager rappresenta ora l'equivalente nel piano di controllo della rete: un singolo componente con visibilità e autorità distribuite.
Cosa fare adesso
- Eseguire
request admin-techper preservare lo stato forense del sistema prima di qualsiasi aggiornamento, come indicato da Cisco per mantenere tracce investigabili - Verificare
/var/log/scripts.logalla ricerca di chiamate anomale agli scriptvconfd_script_upload_tenant_list.sh,vconfd_script_upload_vsmart_serial_numbers.shevconfd_script_upload_chassis_number_file.shcon percorsi file non standard - Applicare l'aggiornamento per CVE-2026-20182 rilasciato il 14 maggio 2026, che Cisco indica come misura intermedia di protezione contro la catena di attacco
- In presenza di indicatori di compromissione confermati, contattare Cisco Technical Assistance Center prima di applicare patch: Cisco avverte che l'aggiornamento software da solo non risolve la vulnerabilità su sistemi già compromessi
Il ritmo del patching vs. la velocità dell'exploit
La situazione di CVE-2026-20245 mette in luce una tensione strutturale. Cisco ha rilasciato la correzione per CVE-2026-20182 il 14 maggio, ma la zero-day di escalation è emersa con exploit attivo prima che qualsiasi patch fosse disponibile. L'intervallo tra disclosure di vulnerabilità correlate e protezione effettiva espone una finestra di esposizione che i team di sicurezza non possono chiudere autonomamente.
La fonte non specifica una data per il rilascio della correzione di CVE-2026-20245 né se il CISA aggiungerà la vulnerabilità al catalogo KEV. L'assenza di workaround ufficiali costringe le organizzazioni a dipendere da rilevamento e segmentazione di rete — misure temporanee che richiedono risorse operative sotto pressione di minaccia attiva.
Per i responsabili della sicurezza in ambienti enterprise e governativi, la lettura è chiara: il piano di controllo SD-WAN è diventato un fulcro di rischio sistemico, e la capacità degli avversari di trovare vulnerabilità concatenate supera attualmente la velocità di risposta del vendor. La posta non è più la compromissione di un singolo dispositivo, ma l'integrità dell'architettura di rete distribuita.
Fonti
- https://thehackernews.com/2026/06/cisco-catalyst-sd-wan-manager-cve-2026.html
- https://www.bleepingcomputer.com/news/security/new-cisco-sd-wan-flaw-exploited-in-zero-day-attacks-to-gain-root/
- https://www.helpnetsecurity.com/2026/06/05/cisco-sd-wan-cve-2026-20245-0-day-exploited/
- https://www.rescana.com/post/active-exploitation-alert-cisco-catalyst-sd-wan-manager-cve-2026-20245-zero-day-under-attack-with-no-patch-available
- https://www.hendryadrian.com/cisco-catalyst-sd-wan-manager-cve-2026-20245-flaw-actively-exploited-no-patch-available/
- https://www.abhs.in/blog/cisco-sdwan-cve-2026-20245-seventh-zero-day-2026-no-patch-root-access
- https://securityaffairs.com/193203/security/cisco-sd-wan-has-a-new-root-level-problem-and-theres-no-fix-yet.html
- https://nvd.nist.gov/vuln/detail/CVE-2026-20245
- https://www.cve.org/CVERecord?id=CVE-2022-20775
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.