CISA
美國網路安全與基礎設施安全局(CISA)近日警告,2月底揭露的3個漏洞CVE-2026-20122、CVE-2026-20128與CVE-2026-20133已遭實際利用,未修補這些弱點的思科廣域網路存取平臺Catalyst SD-WAN風險大增,CISA將這些漏洞納入已知遭利用漏洞清單(KEV)。由於SD-WAN是用戶存取廣域網路環境的中樞平臺,其漏洞會影響到用戶整個網路環境的安全,風險特別高,因此CISA要求聯邦機構須在4天內完成修補,相較多數KEV漏洞常見約2週的修補期限,顯得更為急迫。
這次列入KEV清單的3個漏洞中,風險較高的是CVE-2026-20128與CVE-2026-20133,CVSS嚴重性評分均為7.5分。其中CVE-2026-20128存在於 SD-WAN資料收集代理(DCA)功能,可能導致SD-WAN設備上的本機攻擊者,以低權限存取檔案系統上的DCA憑證,從而取得DCA權限。CVE-2026-20133則為檔案系統存取限制不足問題,未經授權的攻擊者可經API讀取底層作業系統上的敏感資訊。
另一漏洞CVE-2026-20122則為API介面檔案處理不當問題,CVSS嚴重性評分為5.4分,經驗證的遠端攻擊者可上傳惡意檔案到Catalyst SD-WAN檔案系統,並覆寫任意檔案。思科已於2月底發布安全公告揭露前述漏洞,並釋出修補。
