Cisco ha scoperto due falle critiche nel suo sistema SD-WAN già sfruttate da hacker per prendere il controllo delle reti aziendali. Non ci sono ancora patch disponibili per una di esse.

Cisco SD-WAN sotto attacco: due vulnerabilità zero-day sfruttate dai criminali

Le infrastrutture di rete di migliaia di aziende sono esposte a due vulnerabilità critiche nel software Cisco Catalyst SD-WAN, già attivamente sfruttate da attaccanti per infiltrarsi nei sistemi. Cisco ha avvisato giovedì della situazione, confermando che almeno una delle due falle non ha ancora una correzione disponibile, lasciando gli amministratori di rete in una posizione critica.

Chi è colpito

Cisco Catalyst SD-WAN è la piattaforma software che gestisce il traffico di rete per migliaia di grandi aziende, connettendo filiali, data center e ambienti cloud attraverso un sistema centralizzato. È uno strumento fondamentale per le organizzazioni che gestiscono reti complesse su scala globale, il che rende queste vulnerabilità particolarmente pericolose.

Cosa è successo

Cisco ha scoperto due vulnerabilità critiche nel Catalyst SD-WAN Manager e SD-WAN Controller:

CVE-2026-20182 — Un'autenticazione bypassata con severità massima (10.0 su 10). Questa falla permette a un attaccante remoto non autenticato di inviare richieste di connessione manipolate al sistema e ottenere privilegi amministrativi. Una volta dentro, l'attaccante può accedere a NETCONF, il protocollo che controlla la configurazione della rete SD-WAN, e quindi manipolare il traffico dati dell'intera infrastruttura. Cisco ha confermato che questa vulnerabilità è stata sfruttata attivamente in maggio 2026, anche se non ha divulgato dettagli sugli attaccanti coinvolti. Per questa falla, Cisco ha già rilasciato patch.

CVE-2026-20245 — Una vulnerabilità di escalation dei privilegi a root, ancora non patchata. Questa falla consente l'esecuzione di comandi arbitrari con i massimi privilegi sul sistema. È la più pericolosa perché non esiste ancora una correzione ufficiale, lasciando gli amministratori completamente esposti.

Secondo gli avvisi di Cisco, gli attaccanti che sfruttano CVE-2026-20182 cercano di registrare "peer" non autorizzati nei log del controller SD-WAN. In pratica, inseriscono dispositivi falsi che sembrano legittimi all'interno della rete, creando un ponte per accedere a sistemi più profondi dell'infrastruttura aziendale.

Perché è importante

Queste non sono vulnerabilità ordinarie. Una rete SD-WAN è il cuore pulsante della connettività aziendale moderna: se compromessa, un attaccante può intercettare, modificare o deviare il traffico di dati sensibili tra sedi, data center e cloud. Significa potenzialmente accesso a informazioni finanziarie, dati clienti, proprietà intellettuale.

Il fatto che CVE-2026-20182 abbia ricevuto il punteggio di severità massimo (10.0) è raro e significativo. Il fatto che CVE-2026-20245 non abbia ancora una patch è ancora più grave: gli amministratori non hanno alcuna difesa immediata se non isolamento fisico dei sistemi.

Questo è il settimo zero-day in Cisco SD-WAN sfruttato nel 2026, secondo quanto riportato da SecurityWeek. Un numero così alto di vulnerabilità critiche in uno stesso prodotto in così poco tempo suggerisce problemi strutturali nel codice o nei processi di sicurezza della piattaforma.

Cisco aveva già affrontato un'altra vulnerabilità di autenticazione in febbraio 2026, che è stata corretta. Quella scoperta è stata fatta durante le indagini su questa nuova falla, il che indica che gli attaccanti stanno sondando sistematicamente le difese di questa piattaforma.

Cosa aspettarsi

Per CVE-2026-20182, le organizzazioni dovrebbero applicare immediatamente gli aggiornamenti di sicurezza rilasciati da Cisco. Non esistono workaround temporanei efficaci.

Per CVE-2026-20245, la situazione è più complicata. Cisco non ha ancora comunicato una data di rilascio della patch. Nel frattempo, le aziende dovrebbero:

  • Monitorare i log del SD-WAN Controller per attività sospette di peering non autorizzato
  • Limitare l'accesso di rete ai sistemi SD-WAN solo da indirizzi IP fidati
  • Considerare il segmentamento della rete per isolare i sistemi critici

CISA (l'agenzia federale americana per la sicurezza informatica) e i partner internazionali hanno emesso direttive di emergenza per le agenzie governative, il che indica che questa situazione è considerata una minaccia nazionale.

Le prossime settimane saranno cruciali: osservare quando Cisco rilascerà la patch per CVE-2026-20245, se emergeranno dettagli su chi sta sfruttando queste falle, e come i concorrenti (Juniper, Fortinet, Palo Alto Networks) comunicheranno eventuali vulnerabilità simmetriche nei loro prodotti SD-WAN. Le aziende che non aggiornano rapidamente i loro sistemi rischiano di diventare bersagli facili per attaccanti sofisticati.

📰 Fonti

  1. BleepingComputerCisco warns of unpatched SD-WAN zero-day exploited in attacks
  2. bleepingcomputer.comCisco warns of new critical SD-WAN flaw exploited in zero-day attacks
  3. securityweek.comCisco Warns of 7th SD-WAN Zero-Day Exploited in 2026
  4. darkreading.comMaximum Severity Cisco SD-WAN Bug Exploited in the Wild
  5. csoonline.comCisco warns of an actively exploited SD-WAN flaw with max severity
  6. techmeme.comCisco warns of critical SD-WAN bug that was actively exploited in zero-day attacks since 2023, as CISA and international partners issue emergency directives