ZCyberNews
English
漏洞严重5 分钟阅读
CVE-2026-20182CVE-2026-20127

思科Catalyst SD-WAN控制器漏洞CVE-2026-20182得分完美

Rapid7发现了CVE-2026-20182,这是一个10.0-CVSS认证绕过漏洞,存在于思科Catalyst SD-WAN控制器中。未经认证的攻击者可以注入SSH密钥并发出NETCONF命令。

思科Catalyst SD-WAN控制器漏洞CVE-2026-20182得分完美

执行摘要

Rapid7 Labs 披露了 Cisco Catalyst SD-WAN Controller(前称 vSmart)中一个严重的认证绕过漏洞,跟踪编号为 CVE-2026-20182,拥有完美的 CVSSv3.1评分10.0。该漏洞存在于监听 UDP 端口 12346 的 vdaemon 服务中,允许远程未经认证的攻击者冒充受信任的对等方,将攻击者控制的 SSH 公钥注入到 vmanage-admin 账户中,然后通过 SSH 在 TCP 端口 830 上发出任意 NETCONF 命令。根据 Rapid7 的分析,该漏洞是在调查另一个在野外被利用的漏洞 CVE-2026-20127 时发现的,它不是补丁绕过,而是在类似代码路径上的独立问题。Cisco 已经发布了修复软件版本;受影响的组织应立即优先打补丁。

技术分析

Cisco Catalyst SD-WAN Controller 作为 SD-WAN 网络的中央控制平面,通过 Overlay Management Protocol (OMP) 管理覆盖路由。与 Catalyst SD-WAN Manager 不同,它没有 Web 界面,暴露的攻击面较小:SSH (TCP 22)、通过 SSH 的 NETCONF (TCP 830) 和 vdaemon DTLS 控制平面服务 (UDP 12346)。破坏 vdaemon 服务实际上授予了对整个 SD-WAN 覆盖路由网络的控制权。

Rapid7 对 vdaemon 二进制文件的逆向工程揭示了 vbond_proc_challenge_ack() 函数中的漏洞,该函数处理 DTLS 握手过程中的 CHALLENGE_ACK 消息。握手过程如下:

  1. 攻击者与控制器完成 DTLS 握手,控制器接受任何客户端证书。
  2. 控制器发送一个包含 256 个随机字节和包括 CA RSA 公钥组件的 TLV 的 CHALLENGE(msg_type=8)。
  3. 攻击者以 CHALLENGE_ACK(msg_type=9)回应,设置消息头中的 device_type=2(vHub)。
  4. 控制器发送 CHALLENGE_ACK_ACK(msg_type=10),并将 peer->authenticated 设置为 1。
  5. 攻击者发送一个 Hello(msg_type=5),对等方被标记为 UP。

12 字节的 vdaemon 消息头在第 1 个字节的高半字节中编码设备类型。协议定义了设备类型:vEdge(1)、vHub(2)、vSmart(3)、vBond(4)、vManage(5)和 ZTP(6)。关键漏洞是 vbond_proc_challenge_ack() 中的验证逻辑包含设备类型 1(vEdge)、3(vSmart)和 5(vManage)的条件块,但没有设备类型 2(vHub)的代码路径。因此,当对等方声称是 vHub 时,函数跳过所有证书验证,并直接在反编译代码的偏移量 [6] 处将 peer->authenticated 设置为 true。

反编译的伪代码显示:

  • 在 [1] 处,函数检查连接的对等方是否声称是 vSmart(类型 3)或 vManage(类型 5),并执行序列号重复检查。
  • 在 [3] 处,针对特定的对等方和本地设备类型的组合,会发生额外的证书和状态检查。
  • 在 [4] 处,vEdge(类型 1)对等方会经历硬件/虚拟边缘证书验证。
  • 在 [5] 处,没有设备_type == 2(vHub)的条件块,这意味着函数会直接跳转到 [6] 处,在那里 peer->authenticated 被设置为 true,而无需任何验证。

一旦认证成功,攻击者可以将 SSH 公钥注入到 vmanage-admin 账户的 authorized_keys 文件中,然后登录到 NETCONF 服务(TCP 830 上的 SSH)并执行任意 NETCONF 命令。该漏洞被归类为 CWE-287(认证不当)。

Rapid7 明确指出 CVE-2026-20182 不是 CVE-2026-20127 的补丁绕过,后者在野外被利用。两者都影响同一个 vdaemon 服务,但在网络栈的不同部分存在不同的问题。

缓解措施与建议

Cisco 已经发布了 Catalyst SD-WAN Controller 的修复软件版本。运行受影响版本的组织应尽快应用更新,优先考虑暴露于不受信任网络的设备。作为补偿控制措施,网络管理员可以限制 UDP 端口 12346 的访问权限,仅允许已知的、受信任的 SD-WAN 对等方使用防火墙规则或访问控制列表。监控 NETCONF 日志,查找未经授权的 SSH 密钥添加或意外命令。Rapid7 指出,该漏洞可以在未经认证的情况下远程利用,使得未打补丁的控制器成为高优先级目标。

订阅更新

将最新的网络安全资讯直接发送到您的邮箱。

标签:#cisco#sd-wan#authentication-bypass#cve-2026-20182#rapid7#critical-vulnerability

相关文章

cPanel & WHM 认证绕过 CVE-2026-41940:CVSS 9.8CRITICAL
漏洞

cPanel & WHM 认证绕过 CVE-2026-41940:CVSS 9.8

CVE-2026-41940:未经认证的远程攻击者可以绕过 cPanel & WHM 和 WP Squared 的认证。CVSS 9.8。补丁于 2026 年 4 月 28 日发布。

CVE-2026-41940
4 分钟阅读
CVE-2026-20223 (CVSS 10): 思科安全未认证API访问CRITICAL
漏洞

CVE-2026-20223 (CVSS 10): 思科安全未认证API访问

CVE-2026-20223 (CVSS 10.0): 未经认证的攻击者可以访问思科安全工作负载中的内部REST API,并具有站点管理员权限。无需认证。

CVE-2026-20223
6 分钟阅读
Open WebUI 修补三个漏洞:XSS、SVG注入、认证绕过HIGH
漏洞

Open WebUI 修补三个漏洞:XSS、SVG注入、认证绕过

Open WebUI 修复了 CVE-2026-45314(SVG XSS)、CVE-2026-45303(iframe脚本注入)和 CVE-2026-44567(待定角色认证绕过)——全部在自托管的AI平台上。

CVE-2026-45314CVE-2026-45303CVE-2026-44567
8 分钟阅读