Luka w Cisco IOS XE CVE-2026-20418 – krytyczne ryzyko
Krytyczna luka w Cisco IOS XE (CVE-2026-20418) z oceną CVSS 10.0 umożliwia atakującemu uzyskanie pełnych uprawnień administratora bez uwierzytelnienia. Zagrożenie dotyczy urządzeń z IOS XE 17.x, które mają aktywny dostęp HTTP lub HTTPS. Cisco wydało już poprawkę, ale do jej wdrożenia warto wyłączyć dostęp sieciowy do zarządzania przez te protokoły.
Luka ta pojawia się w newralgicznym komponencie Web UI i jest wykorzystywana aktywnie w atakach, co wymusza niezwłoczne działanie. Jeśli jej nie załatamy, ryzykujemy pełne przejęcie sprzętu oraz dalsze eskalacje w infrastrukturze IT.
Co to za podatność i jak działa
CVE-2026-20418 to luka w mechanizmie uwierzytelniania Cisco IOS XE Web UI, pozwalająca na krytyczny bypass kontroli dostępu. Atakujący nie musi posiadać żadnych uprawnień ani wcześniej uwierzytelnienia. Wystarczy, że może nawiązać połączenie HTTP lub HTTPS do podatnego urządzenia. W wyniku tego otrzymuje dostęp z uprawnieniami administratora na poziomie systemu, co oznacza pełną kontrolę nad routerem lub przełącznikiem.
Vektor ataku typowo to zdalne wywołanie przez przeglądarkę lub narzędzie skryptowe do Web UI. Luka ma najwyższą ocenę CVSS 10.0, co oznacza łatwą eksploatację i krytyczne skutki.
Które systemy i wersje są podatne
Podatne są wszystkie urządzenia Cisco z systemem IOS XE w wersjach 17.x, które mają włączony dostęp HTTP lub HTTPS do Web UI. Szczególnie należy sprawdzić wersje starsze niż 17.15.1, ponieważ to właśnie od tej wersji Cisco wprowadziło poprawkę usuwającą lukę.
Aby sprawdzić wersję systemu, należy wykonać komendę w CLI:
show version
lub w panelu zarządzania sprawdzić wersję IOS XE. Jeśli jest starsza niż 17.15.1 i HTTP/HTTPS jest aktywny, urządzenie jest podatne.
Czy ktoś już to wykorzystuje — aktywna eksploatacja
Luka jest już aktywnie wykorzystywana w atakach. Według raportu z Bleeping Computer, exploity są w obiegu i atakujący zyskują pełne uprawnienia administratora. Zostały zgłoszone próby nieautoryzowanego dostępu oraz wycieki danych z urządzeń, które nie zostały zaktualizowane.
Wskaźniki kompromitacji to m.in. niespodziewane połączenia HTTP/HTTPS z nieznanych adresów oraz anomalie w logach systemowych dotyczące zarządzania Web UI.
Jak się zabezpieczyć — krok po kroku
1. Sprawdź wersję IOS XE poleceniem show version.
2. Jeśli wersja jest starsza niż 17.15.1, pobierz aktualizację ze strony Cisco i wdroż ją na urządzeniu.
3. Do momentu wdrożenia aktualizacji wyłącz dostęp HTTP i HTTPS:
no ip http server no ip http secure-server
4. Zrestartuj urządzenie lub usługi sieciowe, aby zmiany zostały wczytane.
5. Po patchu zweryfikuj, że wersja systemu to co najmniej 17.15.1 i funkcje HTTP/HTTPS działają poprawnie (jeśli są potrzebne) z autoryzacją.
Co się stanie jeśli nie zareagujesz
Brak reakcji skutkuje praktycznym przekazaniem pełnej kontroli nad urządzeniem atakującemu. Może to prowadzić do wyłączenia infrastruktury sieciowej, wstrzyknięcia ransomware, wycieku danych firmowych, a także naruszenia zasad RODO. W praktyce ataki kończą się długotrwałymi przestojami i olbrzymimi kosztami odzyskania kontroli.
Scenariusz typowy: napastnik wykorzystuje bypass, zmienia konfigurację routingu, infekuje urządzenie malwarem i rozprzestrzenia się dalej po sieci.
Rekomendacje dla firm i administratorów
- Zaraz po wykryciu podatnej wersji wyłącz zarządzanie HTTP/HTTPS.
- Priorytetowo zaplanuj i wykonaj aktualizację do IOS XE 17.15.1 lub nowszego.
- Monitoruj logi Web UI pod kątem nietypowej aktywności.
- Stosuj segmentację sieci i ograniczaj dostęp do urządzeń zarządzających.
- Informuj klientów MSP o ryzyku i dostępnych rozwiązaniach.
- W razie potrzeby BOIT oferuje wsparcie w audytach i szybkiej aktualizacji.
Źródła
