Уязвимость в устройствах Cisco делает их уязвимыми для DoS-атак

Компания Cisco выпустила обновления безопасности для устранения уязвимости типа «отказ в обслуживании» (DoS) в контроллерах Crosswork Network Controller (CNC) и Network Services Orchestrator (NSO). Она требует ручной перезагрузки систем для восстановления.

Обычно крупные предприятия и поставщики услуг используют программный пакет CNC для упрощения управления сетями разных производителей и автоматизации операций, а платформа оркестрации NSO помогает им управлять сетевыми устройствами и ресурсами.

Серьёзная уязвимость безопасности, отслеживаемая как CVE-2026-20188, связана с недостаточным ограничением скорости входящих сетевых соединений и может быть удалённо использована неавторизованными злоумышленниками для выведения из строя незащищённых систем Cisco CNC и Cisco NSO с помощью простых атак.

«Успешная эксплуатация может позволить злоумышленнику исчерпать доступные ресурсы соединения, что приведёт к зависанию Cisco CNC и Cisco NSO и вызову DoS-атаки для легитимных пользователей и зависимых служб. Для восстановления после этого состояния требуется ручная перезагрузка системы», — пояснила Cisco.

Компания порекомендовала клиентам обновить программное обеспечение до исправленной версии. Хотя уязвимость CVE-2026-20188 может быть использована для необратимого сбоя целевых систем до ручного вмешательства, группа реагирования на инциденты безопасности продуктов Cisco (PSIRT) заявила, что не располагает информацией о продолжающейся эксплуатации. 

Однако в ноябре 2025 года компания предупредила, что две уязвимости безопасности (CVE-2025-20362 и CVE-2025-20333), ранее использовавшиеся в атаках нулевого дня, теперь применяются для принудительной перезагрузки межсетевых экранов ASA и FTD.

В сентябре, когда Cisco устранила две уязвимости,