Sicurezza

CVE-2026-20245 e CVE-2026-41089: zero-day Cisco SD-WAN e RCE su Netlogon sotto attacco attivo

Dario Fadda Giugno 9, 2026

Questa settimana il panorama della sicurezza infrastrutturale è segnato da due vulnerabilità critiche in sfruttamento attivo: un zero-day su Cisco Catalyst SD-WAN Manager e un buffer overflow nel protocollo Netlogon di Windows. Entrambe riguardano componenti centrali nelle architetture enterprise e richiedono attenzione immediata da parte degli amministratori di sistema.

CVE-2026-20245: Zero-day su Cisco Catalyst SD-WAN Manager

Cisco ha divulgato la vulnerabilità CVE-2026-20245, una privilege escalation critica che colpisce Cisco Catalyst SD-WAN Manager. La caratteristica più preoccupante è che, al momento della divulgazione, non è disponibile alcuna patch.

Secondo Cisco, sono stati osservati casi di sfruttamento attivo in cui l’attaccante è riuscito a modificare configurazioni e a propagarle verso i dispositivi edge della rete SD-WAN. Questo tipo di accesso è particolarmente pericoloso perché consente potenzialmente di alterare il routing del traffico, intercettare comunicazioni o isolare segmenti di rete.

Il contesto: il gruppo UAT-8616

L’attività non è isolata. Il threat actor noto come UAT-8616 ha già sfruttato in precedenza vulnerabilità simili di authentication bypass su sistemi SD-WAN Cisco. Il pattern operativo del gruppo prevede:

  • Sfruttamento di falle di autenticazione per accedere al management plane
  • Modifica delle configurazioni degli edge device per ottenere persistenza o pivoting laterale
  • Campagne mirate a infrastrutture enterprise con SD-WAN distribuita geograficamente

Mitigazioni temporanee

In assenza di patch, Cisco raccomanda di:

  • Limitare l’accesso alla management interface di SD-WAN Manager esclusivamente a indirizzi IP fidati tramite ACL
  • Abilitare il logging avanzato per rilevare accessi anomali o modifiche di configurazione non autorizzate
  • Monitorare i cambiamenti alla configurazione degli edge device con sistemi di change management
  • Isolare il piano di gestione (out-of-band management) dalla rete dati

Verificare costantemente la pagina degli advisory di sicurezza Cisco per l’uscita della patch.

CVE-2026-41089: RCE nel protocollo Netlogon di Windows

Parallelamente, è in corso lo sfruttamento attivo di CVE-2026-41089, una vulnerabilità di tipo stack-based buffer overflow nel protocollo Netlogon di Windows. La falla consente l’esecuzione di codice remoto (RCE) senza necessità di autenticazione preventiva.

Il protocollo Netlogon è fondamentale nell’ecosistema Active Directory: gestisce l’autenticazione dei computer membri del dominio, la sincronizzazione delle password degli account macchina e la comunicazione sicura tra domain controller. Un attaccante che sfrutti questa vulnerabilità può eseguire codice arbitrario direttamente su un domain controller, compromettendo di fatto l’intera infrastruttura Active Directory.

Perché è critica

I domain controller rappresentano il cuore pulsante di ogni infrastruttura Windows enterprise:

  • Gestiscono tutte le autenticazioni Kerberos e NTLM
  • Ospitano il catalogo globale e le policy di gruppo (GPO)
  • Controllano i permessi e i privilegi di tutta la rete

Una compromissione del DC equivale tipicamente a un compromesso totale del dominio: l’attaccante può creare account privilegiati, modificare policy, accedere a segreti Kerberos (Golden Ticket) e muoversi lateralmente verso ogni sistema del dominio.

Azioni immediate

Se non già fatto, è essenziale applicare le patch del Patch Tuesday di giugno 2026 che correggono questa vulnerabilità. Fino all’applicazione della patch:

# Verificare se il servizio Netlogon è esposto su interfacce non necessarie
netstat -ano | findstr :135
netstat -ano | findstr :49152

# Controllare gli accessi recenti ai domain controller
Get-EventLog -LogName Security -InstanceId 4624,4625 -Newest 500 | 
  Where-Object {$_.EntryType -eq 'FailureAudit'} | 
  Select-Object TimeGenerated, Message | 
  Format-Table -AutoSize

È inoltre consigliabile verificare che il traffico Netlogon (RPC su porte dinamiche) sia limitato tramite firewall a soli sistemi del dominio e non esposto verso reti non fidate.

Contesto più ampio: giugno 2026, un mese critico per la sicurezza

Le due CVE sopra descritte si inseriscono in un contesto di patch Tuesday giugno 2026 che conta oltre 120 CVE corrette da Microsoft su Windows 10 e Windows 11. Nello stesso periodo:

  • Palo Alto GlobalProtect VPN: rilevati tentativi limitati di sfruttamento di un authentication bypass
  • Android (CVE-2025-48595): Google ha rilasciato l’aggiornamento di sicurezza di giugno 2026 per correggere una vulnerabilità di alta severità nel framework, probabilmente già usata in attacchi mirati
  • Miasma worm: nei giorni precedenti, un worm ha colpito 73 repository GitHub di Microsoft in un supply chain attack

Checklist per gli amministratori

  • ✅ Applicare il Patch Tuesday di giugno 2026 su tutti i domain controller il prima possibile
  • ✅ Verificare se l’ambiente usa Cisco Catalyst SD-WAN Manager e implementare le mitigazioni temporanee
  • ✅ Abilitare audit logging su DC per rilevare accessi anomali tramite Netlogon
  • ✅ Controllare che l’accesso al management plane SD-WAN sia ristretto via ACL
  • ✅ Monitorare i bollettini Cisco per la disponibilità della patch CVE-2026-20245

Fonti: 4sysops, Help Net Security, SecurityWeek

💬 Unisciti alla discussione!


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@spcnet.it e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su CVE-2026-20245 e CVE-2026-41089: zero-day Cisco SD-WAN e RCE su Netlogon sotto attacco attivo, utilizza la discussione sul Forum.
Condividi la tua esperienza, confrontati con altri professionisti e approfondisci i dettagli tecnici nel nostro 👉 forum community