In sintesi
Cisco ha emesso un’allerta urgente riguardo una vulnerabilità di sicurezza di elevata gravità che interessa il software Catalyst SD-WAN Manager. Questa falla, tracciata come CVE-2026-20245, presenta un punteggio CVSS di 7.8 su un massimo di 10.0, indicando un rischio significativo. La criticità di questa situazione è ulteriormente amplificata dal fatto che la vulnerabilità è attualmente sotto sfruttamento attivo da parte di attaccanti. Un aspetto cruciale e preoccupante è che Cisco ha dichiarato l’assenza di una patch correttiva al momento. La vulnerabilità affetta diverse tipologie di deployment, tra cui On-Premise, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (gestito direttamente da Cisco) e Cisco SD-WAN per il settore governativo (FedRAMP). Questo scenario pone un rischio immediato per la sicurezza delle reti e dei dati delle organizzazioni che utilizzano il sistema.
Per le organizzazioni che trattano dati personali e gestiscono infrastrutture critiche, questa notizia è di primaria importanza. Il Catalyst SD-WAN Manager è spesso il cuore pulsante della gestione della rete, controllando politiche di sicurezza, segmentazione e connettività. Uno sfruttamento attivo di una vulnerabilità in questo componente può portare a conseguenze disastrose, inclusa l’interruzione dei servizi di rete, l’intercettazione non autorizzata di dati, l’accesso a sistemi interni e la compromissione dell’integrità e della disponibilità delle informazioni. L’assenza di una patch rende la gestione del rischio particolarmente complessa, in quanto non è possibile applicare la soluzione definitiva, richiedendo misure compensative immediate e un’attenzione costante per mitigare le potenziali minacce.
Questo evento ha dirette implicazioni per la compliance normativa e gli standard di sicurezza. Ai sensi del GDPR (Regolamento Generale sulla Protezione dei Dati), le organizzazioni sono tenute ad adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio (Art. 32). Uno sfruttamento attivo di una vulnerabilità critica, senza patch, comporta un rischio elevato per la riservatezza, l’integrità e la disponibilità dei dati personali, potendo configurare un data breach con conseguenti obblighi di notifica all’Autorità Garante e, in taluni casi, agli interessati (Artt. 33, 34). Per le entità rientranti nel perimetro NIS2, la compromissione di sistemi di rete può avere un impatto significativo sulla continuità dei servizi essenziali o importanti, attivando gli obblighi di segnalazione degli incidenti e la necessità di dimostrare una robusta gestione dei rischi cyber. Infine, per le organizzazioni certificate ISO 27001, questo scenario richiede un aggiornamento immediato della valutazione del rischio, l’implementazione di controlli aggiuntivi e una revisione del piano di risposta agli incidenti per mantenere l’efficacia del Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
Di fronte all’assenza di una patch, le azioni pratiche consigliate si concentrano su strategie di mitigazione e rafforzamento della resilienza. Le organizzazioni dovrebbero implementare un monitoraggio rafforzato e continuo dei sistemi Cisco Catalyst SD-WAN Manager per rilevare eventuali indicatori di compromissione o tentativi di sfruttamento della CVE-2026-20245. È fondamentale rivedere e, se necessario, implementare o rafforzare la segmentazione della rete per isolare i sistemi critici e limitare la potenziale diffusione di un attacco. Si consiglia di valutare configurazioni di sicurezza alternative e restrizioni di accesso che possano ridurre la superficie di attacco esposta. Infine, è essenziale che i piani di risposta agli incidenti (IRP) siano aggiornati, testati e pronti all’attivazion