Cisco випустила екстрені оновлення для Catalyst SD-WAN Controller та SD-WAN Manager у зв’язку з критичною вразливістю CVE-2026-20182 з максимальним рейтингом CVSS 10.0. Вразливість дозволяє будь-якому зловмиснику в мережі – без жодної автентифікації, тобто без логіна та паролю обійти систему перевірки особи й отримати адміністративні привілеї на ураженому пристрої. Проблема криється у сервісі vdaemon, який відповідає за передачу керуючих сигналів через UDP-порт 12346 із використанням протоколу DTLS. Саме тут зловмисник може надіслати спеціально сформований запит, який система неправильно обробляє, і в результаті зареєструвати себе як довірений вузол мережі. Cisco підтвердила, що вже у травні 2026 року фіксувалися «обмежені випадки» реального використання цієї вразливості в атаках. 

Cisco Talos пов’язала активну експлуатацію CVE-2026-20182 з угрупуванням UAT-8616 — тим самим актором, який раніше використовував схожу вразливість CVE-2026-20127. Після успішного злому зловмисники намагалися додати власні SSH-ключі, змінити конфігурацію через протокол NETCONF та підвищити привілеї до рівня root, щоб отримати повний контроль над мережевою інфраструктурою SD-WAN. Вразливість була виявлена дослідниками Rapid7 — Джоною Бюргесом та Стівеном Фьюером. Cisco опублікувала рекомендацію перевірити файл /var/log/auth.log на предмет підключень із невідомих IP-адрес. Повноцінний модуль для Metasploit планується до публікації 27 травня 2026 року. CISA включила CVE-2026-20182 до каталогу відомих вразливостей, що активно експлуатуються, з терміном усунення до 17 травня 2026 року.