Vulnerabilitat SD-WAN CVE-2026-20127
S'ha identificat una vulnerabilitat de màxima gravetat, registrada com a CVE-2026-20127 (puntuació CVSS: 10.0), al controlador Cisco Catalyst SD-WAN i al gestor Cisco Catalyst SD-WAN de Cisco Systems. La falla permet a un atacant remot no autenticat eludir els controls d'autenticació i obtenir accés administratiu enviant una sol·licitud especialment dissenyada a un sistema vulnerable.
El problema prové d'un error en el mecanisme d'autenticació d'empareig, que permet a un adversari iniciar sessió com a usuari intern no root amb privilegis elevats. Amb aquest nivell d'accés, els atacants poden interactuar amb els serveis NETCONF i manipular les configuracions del teixit SD-WAN, cosa que podria comprometre la integritat i la disponibilitat de les xarxes empresarials.
Taula de continguts
Models de desplegament afectats
La vulnerabilitat afecta diversos models de desplegament, independentment de la configuració:
- Implementacions locals
- Núvol SD-WAN allotjat de Cisco
- Núvol SD-WAN allotjat per Cisco: gestionat per Cisco
- Núvol SD-WAN allotjat per Cisco: entorn FedRAMP
Els sistemes exposats a Internet públic, especialment aquells amb ports oberts, s'enfronten a un risc significativament elevat de ser compromesos.
Explotació activa i activitat dels actors amenaçadors
Investigadors de seguretat han confirmat una explotació activa que es remunta al 2023. La campanya es rastreja sota la designació UAT-8616, avaluada com un clúster d'amenaces altament avançat. L'evidència indica que el grup va aprofitar aquesta vulnerabilitat de dia zero per infiltrar-se en entorns Cisco SD-WAN i obtenir accés elevat persistent.
La metodologia d'atac inclou la creació d'un node rogue que s'uneix al pla de gestió o control de la SD-WAN. Aquest dispositiu maliciós apareix com un component SD-WAN legítim però temporal, permetent interaccions de confiança dins de la infraestructura de gestió.
Després del compromís inicial d'una aplicació amb accés a Internet, els atacants han explotat el mecanisme d'actualització integrat per rebaixar les versions del programari. Aquesta rebaixa facilita l'explotació de CVE-2022-20775 (puntuació CVSS: 7,8), una falla d'escalada de privilegis d'alta gravetat a la CLI del programari Cisco SD-WAN. Un cop obtinguts els privilegis d'arrel, els atacants restauren el sistema a la seva versió de programari original per minimitzar la detecció.
Les accions posteriors al compromís atribuïdes a UAT-8616 inclouen:
- Creació de comptes d'usuari locals dissenyats per semblar comptes legítims
- Inserció de claus autoritzades SSH per a l'accés root i la modificació de scripts d'inici de SD-WAN
- Ús de NETCONF sobre el port 830 i SSH per al moviment lateral dins del pla de gestió
- Manipulació del registre, inclosa la supressió de fitxers a /var/log, l'historial d'ordres i els registres de connexió de xarxa
Aquesta activitat reflecteix una tendència més àmplia d'actors sofisticats que es dirigeixen a la infraestructura de vora de la xarxa per establir punts de suport duradors en entorns d'alt valor, inclosos els sectors d'infraestructures crítiques.
Guia d’aplicació de pegats i correcció
Cisco ha publicat correccions per a diverses cadenes de programari. Les organitzacions que operen versions vulnerables han d'actualitzar a versions corregides, com ara:
- Versions anteriors a la 20.9.1: migrar a una versió fixa
- 20.9: actualització a la versió 20.9.8.2
- 20.11.1: actualització a 20.12.6.1
- 20.12.5: actualització a 20.12.5.3
- 20.12.6: actualització a 20.12.6.1
- 20.13.1, 20.14.1, 20.15: actualització a 20.15.4.2
- 20.16.1 i 20.18: actualització a 20.18.2.1
A més de l'aplicació de pegats, les organitzacions haurien de dur a terme una validació forense. Les accions recomanades inclouen la revisió del fitxer /var/log/auth.log per a entrades que facin referència a "Accepted publickey for vmanage-admin" originades d'adreces IP desconegudes. Qualsevol IP sospitosa s'hauria de comparar amb les IP del sistema configurades que figuren a la interfície web del Cisco Catalyst SD-WAN Manager, a Dispositius > IP del sistema.
Per detectar possibles esdeveniments de reinici inesperats o de reinici a una versió anterior, cal analitzar els fitxers de registre següents:
- /var/volatil/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
Mandats federals i resposta normativa
En resposta a l'explotació confirmada, l'Agència de Ciberseguretat i Seguretat d'Infraestructures (CISA) va afegir tant CVE-2026-20127 com CVE-2022-20775 al seu catàleg de vulnerabilitats explotades conegudes (KEV). Les agències de la Branca Executiva Civil Federal han de solucionar aquestes vulnerabilitats en un termini de 24 hores.
La CISA també ha publicat la Directiva d'emergència 26-03, titulada "Mitigar les vulnerabilitats en els sistemes Cisco SD-WAN". La directiva obliga les agències federals a inventariar tots els actius SD-WAN dins l'àmbit d'aplicació, aplicar actualitzacions de seguretat i avaluar els indicadors de compromís.
Els terminis de compliment exigeixen a les agències que:
- Envieu un catàleg de tots els sistemes SD-WAN dins l'àmbit d'aplicació abans del 26 de febrer de 2026, a les 23:59 ET.
- Proporcioneu un inventari detallat dels productes afectats i les accions correctives abans del 5 de març de 2026 a les 23:59 ET.
- Informeu de totes les mesures d'enduriment de l'entorn abans del 26 de març de 2026 a les 23:59 ET.
Aquests desenvolupaments subratllen la necessitat urgent d'una gestió proactiva de pegats, una supervisió contínua i un enduriment defensiu de la infraestructura de vora de la xarxa per mitigar les amenaces persistents avançades dirigides als entorns SD-WAN.
