אם אתם משתמשים ב-Cisco Catalyst SD-WAN לחיבור בין סניפים, יש לכם קריאה דחופה לבצע. CVE-2026-20182, פגיעות עוקף-הזדהות שמאפשרת לתוקף לקבל הרשאות אדמין בלי סיסמה, נכנסה לקטלוג ה-KEV של CISA. הדדליין שניתן לגופים פדרליים בארה"ב הוא 4 ביוני – זה אומר שהפגיעות מנוצלת בפועל.

למה SD-WAN נחשב יעד מועדף

SD-WAN זה לא רק "ראוטר חכם". זו תשתית שמחברת בין כל הסניפים של הארגון – הכל עובר דרכה: מיילים, וידאו, שיחות VoIP, גישה ל-CRM, גישה לשרתים בענן. כשמישהו משיג גישת אדמין לבקר ה-SD-WAN, הוא בעצם מקבל מפת תעבורה של כל הארגון.

מתוקפי APT (Advanced Persistent Threat) – הקבוצות מהמדינות החזקות – מצליחים לעיתים להשתמש בגישה כזו לבצע איסוף מודיעין במשך חודשים בלי שאף אחד מרגיש. הם רואים מי מדבר עם מי, מתי, ועם איזה data volume – וזה לעיתים מספיק כדי להבין מה הארגון עושה ולתכנן התקפה ממוקדת.

פרטי הפגיעות

המקור: Authentication bypass ב-Catalyst SD-WAN Controller ו-SD-WAN Manager. תוקף לא מאומת שולח בקשה מעוצבת ומקבל הרשאות אדמין. הציון CVSS לא פורסם רשמית עדיין, אבל בהינתן שזה auth bypass בלי הרשאה – מדובר ב-9.0+ בוודאות.

גרסאות מושפעות: כל גרסאות Catalyst SD-WAN Controller ו-Manager לפני העדכון של מאי 2026. סיסקו פרסמה patches בהדרגה, ויש workarounds זמניים למי שלא יכול לעדכן מיד.

מה לעשות השבוע

  • בדקו את גרסת ה-SD-WAN Controller / Manager. ב-vManage, ל-Maintenance > Software upgrade. מי שעובד עם ספק מנוהל – תשאלו אותו ישירות.
  • הגבילו גישה לממשק הניהול. אם הוא חשוף לאינטרנט – אל תחכו לעדכון, סגרו אותו עכשיו לכתובות IP מאושרות בלבד. רוב הניצולים בשטח מסתמכים על כך שהממשק נגיש מהאינטרנט.
  • בדקו logs מהשבועיים האחרונים. תחפשו ניסיונות התחברות מ-IPs שאתם לא מכירים, פעולות admin שלא תועדו, או שינויי policy שלא ביצעתם.

נקודה רחבה: תשתית רשת זה משטח התקפה

בעבר, מנהלי IT היו רואים את הרשת כחלק מהתשתית – לא משטח שמתקיפים אותו ישירות. ב-2026 המצב התהפך. ראוטרים, firewalls, controllers ו-VPN gateways הפכו ליעד מועדף של תוקפים, כי הם:

  • חשופים לאינטרנט בדרך כלל
  • פחות מתועדכים מאשר מחשבי משתמש
  • נותנים גישה רחבה ברגע שמשיגים אותם
  • לא נמצאים תחת ניטור EDR או SIEM ברוב הארגונים

הלקח: ניהול אבטחה של תשתית הרשת זה לא משימה של "פעם בשנה". הוא צריך להיות חלק מהתהליך השוטף. החלפת firmware של router לפחות פעמיים בשנה, סקירת firewall rules פעם ברבעון, ובדיקת לוגים שבועית.

אם הסביבה הרשתית שלכם מורכבת ולא קל לכם לעקוב אחרי הכל – צרו קשר עם M-Challenge. אנחנו מנהלים סביבות רשת לעשרות לקוחות בארץ, כולל הטמעות SD-WAN, firewall management ו-network monitoring שוטף. תוצאות הסקירה האחרונה של רוב הלקוחות הראו ש-2-3 ציוד תשתית רלוונטיים זקוקים לעדכון אבטחה תוך שבועיים.

למי שמחפש להתחיל מאיפושהו, מומלץ לקרוא את הפוסט שלנו על פגיעויות באבטחת רשת והדרך לטפל בהן.