In sintesi
ACN / CSIRT Italia ha emesso un allerta relativo allo sfruttamento attivo di una vulnerabilità di elevata gravità che interessa i prodotti Cisco Catalyst SD-WAN, una piattaforma essenziale per la gestione centralizzata delle reti WAN aziendali. Questa falla, identificata con la CVE‑2026‑20245, è di tipo “Authenticated Command Injection / Privilege Escalation” e presenta un punteggio CVSS 3.1 di 7.8, classificandola come “alta” per gravità. La sua criticità è amplificata dal fatto che è già attivamente sfruttata in rete, rappresentando una minaccia immediata per le organizzazioni che utilizzano questa tecnologia, come documentato dall’alert AL03/260605/CSIRT-ITA.
Nel dettaglio, la vulnerabilità risiede nel componente CLI del Cisco Catalyst SD-WAN Manager (vManage) ed è causata da controlli insufficienti sulla validazione degli input, in particolare sui dati provenienti da file caricati. Questo permette a un utente malintenzionato autenticato, che abbia ottenuto privilegi adeguati o accesso tramite altre vulnerabilità, di inviare file appositamente predisposti per eseguire comandi arbitrari con privilegi elevati, fino a ottenere l’accesso root sui sistemi compromessi. Tale condizione espone le reti aziendali a rischi significativi di esfiltrazione dati, interruzione dei servizi e compromissione dell’integrità del sistema. Tutte le versioni di Cisco Catalyst SD-WAN Manager (vManage), indipendentemente dal tipo di deployment, risultano essere affette da questa grave problematica, la cui pubblicazione risale al 5 giugno 2026.
Questa vulnerabilità ha un impatto sistemico classificato come “Critico” (79.23), sottolineando l’urgenza con cui le organizzazioni devono affrontare la minaccia. Per le aziende che trattano dati personali, l’esecuzione di codice arbitrario e l’escalation dei privilegi rappresentano un rischio elevatissimo di data breach, con conseguenti violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR). La compromissione di sistemi centrali per la gestione della rete può infatti portare alla perdita di riservatezza, integrità e disponibilità dei dati, richiedendo potenzialmente notifiche al Garante e agli interessati, ai sensi degli articoli 33 e 34 del GDPR. Inoltre, per le entità rientranti nel perimetro della Direttiva NIS2, la mancata gestione tempestiva di una vulnerabilità critica e attivamente sfruttata su infrastrutture di rete centrali potrebbe configurare un inadempimento agli obblighi di sicurezza cibernetica, esponendo a sanzioni e a un grave danno reputazionale. Il contesto di una piattaforma WAN aziendale rende questa vulnerabilità particolarmente rilevante per la continuità operativa e la resilienza cibernetica.
PL Consulting raccomanda alle organizzazioni di adottare le seguenti azioni pratiche, come indicato dall’allerta di ACN / CSIRT Italia:
- Monitorare costantemente il sito ufficiale del vendor Cisco per il rilascio di patch di sicurezza o di ulteriori azioni di mitigazione volte a risolvere definitivamente la vulnerabilità.
- Valutare l’implementazione degli Indicatori di Compromissione (IoC) forniti nel bollettino di sicurezza. Tali IoC possono aiutare a rilevare eventuali tentativi di sfruttamento o compromissioni già avvenute nei propri ambienti.
È fondamentale agire con la massima urgenza data la natura critica della vulnerabilità e il suo attivo sfruttamento, per proteggere i propri sistemi e dati da potenziali attacchi.