Уязвимост SD-WAN CVE-2026-20127
Уязвимост с максимална тежест, проследена като CVE-2026-20127 (CVSS оценка: 10.0), е идентифицирана в Cisco Systems Cisco Catalyst SD-WAN Controller и Cisco Catalyst SD-WAN Manager. Пропускът позволява на неудостоверен отдалечен нападател да заобиколи контролите за удостоверяване и да получи административен достъп, като изпрати специално формулирана заявка до уязвима система.
Проблемът произтича от повреда в механизма за удостоверяване чрез пиъринг, което позволява на злонамерен потребител да влезе като вътрешен потребител с високи привилегии, различен от root. С това ниво на достъп, нападателите могат да взаимодействат с NETCONF услуги и да манипулират конфигурациите на SD-WAN мрежата, което потенциално може да компрометира целостта и наличността на корпоративните мрежи.
Съдържание
Засегнати модели на внедряване
Уязвимостта засяга множество модели на внедряване, независимо от конфигурацията:
- Локални внедрявания
- Хостван SD-WAN облак от Cisco
- Хостван от Cisco SD-WAN облак – управляван от Cisco
- Хостван SD-WAN облак от Cisco – FedRAMP среда
Системите, изложени на публичен интернет, особено тези с отворени портове, са изправени пред значително повишен риск от компрометиране.
Активна експлоатация и активност на злонамерени лица
Изследователи по сигурността потвърдиха активна експлоатация, датираща от 2023 г. Кампанията се проследява под обозначението UAT-8616, оценено като силно напреднал клъстер от заплахи. Доказателствата сочат, че групата е използвала тази уязвимост „нулев ден“, за да проникне в среди на Cisco SD-WAN и да получи постоянен повишен достъп.
Методологията на атаката включва създаването на нелоялен пиър, който се присъединява към равнината за управление или контрол на SD-WAN. Това злонамерено устройство се появява като легитимен, но временен компонент на SD-WAN, което позволява надеждни взаимодействия в рамките на инфраструктурата за управление.
След първоначално компрометиране на приложение, свързано с интернет, нападателите са използвали вградения механизъм за актуализиране, за да понижат версиите на софтуера. Това понижаване улеснява експлоатацията на CVE-2022-20775 (CVSS оценка: 7.8), уязвимост с висока степен на ескалация на привилегии в CLI на софтуера Cisco SD-WAN. След като получат root права, нападателите възстановяват системата до оригиналната ѝ версия на софтуера, за да сведат до минимум откриването.
Действията след компрометирането, приписвани на UAT-8616, включват:
- Създаване на локални потребителски акаунти, проектирани да наподобяват легитимни акаунти
- Вмъкване на SSH оторизирани ключове за root достъп и промяна на SD-WAN стартови скриптове
- Използване на NETCONF през порт 830 и SSH за странично движение в рамките на равнината на управление
- Промяна на лог файлове, включително изтриване на файлове в /var/log, история на командите и записи за мрежова връзка
Тази дейност отразява по-широка тенденция на усъвършенствани участници, насочващи се към мрежова инфраструктура на периферията, за да установят трайни опорни точки във високоценни среди, включително сектори на критична инфраструктура.
Ръководство за поправяне и отстраняване на проблеми
Cisco пусна корекции за множество софтуерни системи. Организациите, които използват уязвими версии, трябва да надстроят до коригирани версии, включително:
- Версии преди 20.9.1: мигриране към фиксирана версия
- 20.9: надстройка до 20.9.8.2
- 20.11.1: надстройка до 20.12.6.1
- 20.12.5: надстройка до 20.12.5.3
- 20.12.6: надстройка до 20.12.6.1
- 20.13.1, 20.14.1, 20.15: надграждане до 20.15.4.2
- 20.16.1 и 20.18: надстройка до 20.18.2.1
В допълнение към инсталирането на корекции, организациите трябва да извършват криминалистична проверка. Препоръчителните действия включват преглед на файла /var/log/auth.log за записи, отнасящи се до „Accepted publickey for vmanage-admin“, произхождащи от неизвестни IP адреси. Всички подозрителни IP адреси трябва да бъдат сравнени с конфигурираните системни IP адреси, изброени в уеб потребителския интерфейс на Cisco Catalyst SD-WAN Manager в раздел „Устройства“ > „Системен IP адрес“.
За да се открият потенциални събития на понижаване на версията или неочаквано рестартиране, трябва да се анализират следните лог файлове:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
Федерални мандати и регулаторен отговор
В отговор на потвърдена експлоатация, Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) добави CVE-2026-20127 и CVE-2022-20775 към своя каталог с известни експлоатирани уязвимости (KEV). Федералните граждански агенции на изпълнителната власт са длъжни да отстранят тези уязвимости в рамките на 24 часа.
CISA също така издаде Директива за извънредни ситуации 26-03, озаглавена „Смекчаване на уязвимостите в Cisco SD-WAN системите“. Директивата задължава федералните агенции да инвентаризират всички SD-WAN активи в обхвата на действието, да прилагат актуализации на сигурността и да оценяват за индикатори за компрометиране.
Крайните срокове за съответствие изискват от агенциите да:
- Изпратете каталог на всички SD-WAN системи в обхвата до 26 февруари 2026 г., 23:59 ч. ET.
- Предоставете подробен опис на засегнатите продукти и действия за отстраняване на проблемите до 5 март 2026 г., 23:59 ч. ET.
- Докладвайте всички мерки за подобряване на околната среда до 26 март 2026 г., 23:59 ч. ET.
Тези развития подчертават спешната необходимост от проактивно управление на корекции, непрекъснато наблюдение и защитно укрепване на мрежовата инфраструктура на периферията, за да се смекчат напредналите постоянни заплахи, насочени към SD-WAN среди.
