思科SD-WAN多个漏洞遭攻击者利用，CISA紧急要求修补

美国主要网络安全防御机构已发出警告，指出三个思科Catalyst SD-WAN Manager漏洞正遭受攻击，并要求联邦机构在四天内完成安全补丁修复。

美国网络安全和基础设施安全局（CISA）于本周一将上述三个漏洞全部收录至已知可利用漏洞目录，与此前已列入名单的至少两个思科SD-WAN相关CVE漏洞并列，并设定本周四为联邦机构的修复截止日期。

思科Catalyst SD-WAN Manager平台（前身为vManage）是众多企业SD-WAN部署的核心枢纽，单个集群最多可管理6,000台边缘设备。

漏洞详情

第一个漏洞CVE-2026-20128属于信息泄露类型，存在于思科Catalyst SD-WAN Manager的数据收集代理（DCA）功能中。未经身份验证的远程攻击者可利用该漏洞，在受影响系统上获取DCA用户权限。

CVE-2026-20133同样是一个信息泄露漏洞，未经身份验证的远程攻击者可借此查看受影响系统上的敏感信息。

CVE-2026-20122则是一个任意文件覆盖漏洞，持有有效只读API凭证的经身份验证远程攻击者可利用该漏洞上传恶意文件，覆盖系统本地任意文件，进而获取vManage用户权限。

思科已于今年二月下旬为上述三个CVE漏洞发布了补丁，并于三月份警告称攻击者正在利用其中两个漏洞。思科产品安全事件响应团队（PSIRT）表示："2026年3月，我们发现CVE-2026-20128和CVE-2026-20122正遭到活跃利用。"

截至发稿时，思科的安全公告尚未将CVE-2026-20133列为正处于活跃利用状态的漏洞。思科方面未就攻击规模及攻击者如何利用非法访问权限等问题作出及时回应。

Q&A

Q1：思科Catalyst SD-WAN Manager是什么？主要用途是什么？

A：思科Catalyst SD-WAN Manager（前身为vManage）是企业SD-WAN部署的核心管理平台，能够集中管理网络中的边缘设备，单个集群最多可支持6,000台设备。它为企业提供统一的网络管理视图，是许多组织广域网架构的关键组件。

Q2：这三个思科SD-WAN漏洞分别有多危险？

A：三个漏洞危险程度各异。CVE-2026-20128和CVE-2026-20133允许未经身份验证的远程攻击者获取系统权限或查看敏感信息，无需任何凭证即可发动攻击，威胁较高。CVE-2026-20122则需攻击者持有只读API凭证，但一旦利用成功，可上传恶意文件并提升至vManage用户权限，危害同样严重。目前前两个漏洞已被确认存在活跃利用。

Q3：企业和联邦机构应该如何应对这些漏洞？

A：CISA已要求联邦机构在四天内完成修复，截止日期为周四。思科已于2026年2月底发布了针对三个漏洞的安全补丁。建议所有使用思科Catalyst SD-WAN Manager的组织尽快升级至修复版本，同时排查是否已遭受入侵，并审查相关API凭证的使用情况。