Slevová nabídka pro více licencí
Databáze hrozeb Zranitelnost Zranitelnost SD-WAN CVE-2026-20127

Zranitelnost SD-WAN CVE-2026-20127

V roce Mezo v roce Zranitelnost
Přeložit do:

V zařízeních Cisco Systems Cisco Catalyst SD-WAN Controller a Cisco Catalyst SD-WAN Manager byla identifikována zranitelnost s maximální závažností, evidovaná jako CVE-2026-20127 (skóre CVSS: 10,0). Tato chyba umožňuje neověřenému vzdálenému útočníkovi obejít ověřovací kontroly a získat administrátorský přístup odesláním speciálně vytvořeného požadavku do zranitelného systému.

Problém pramení z selhání mechanismu peeringového ověřování, které útočníkovi umožňuje přihlásit se jako interní uživatel s vysokými oprávněními (neroot). S touto úrovní přístupu mohou útočníci interagovat se službami NETCONF a manipulovat s konfiguracemi sítě SD-WAN, což může ohrozit integritu a dostupnost podnikových sítí.

Dotčené modely nasazení

Tato zranitelnost ovlivňuje více modelů nasazení bez ohledu na konfiguraci:

  • Nasazení v místních systémech
  • Cisco hostované cloudové řešení SD-WAN
  • Cisco hostovaný SD-WAN cloud – spravovaný společností Cisco
  • Cisco Hosted SD-WAN Cloud – prostředí FedRAMP

Systémy vystavené veřejnému internetu, zejména ty s otevřenými porty, čelí výrazně zvýšenému riziku kompromitace.

Aktivní zneužívání a aktivita hrozeb

Bezpečnostní experti potvrdili aktivní zneužívání sahající až do roku 2023. Kampaň je sledována pod označením UAT-8616 a je hodnocena jako vysoce pokročilý klastr hrozeb. Důkazy naznačují, že skupina zneužila tuto zranitelnost typu zero-day k infiltraci prostředí Cisco SD-WAN a získání trvalého zvýšeného přístupu.

Metodologie útoku zahrnuje vytvoření nepoctivého uzlu, který se připojí k rovině správy nebo řízení SD-WAN. Toto škodlivé zařízení se jeví jako legitimní, ale dočasná komponenta SD-WAN, což umožňuje důvěryhodné interakce v rámci infrastruktury správy.

Po počátečním napadení aplikace přístupné k internetu útočníci zneužili vestavěný mechanismus aktualizací k downgradu softwaru. Toto downgrade usnadňuje zneužití chyby CVE-2022-20775 (skóre CVSS: 7,8), což je závažná chyba eskalace oprávnění v rozhraní příkazového řádku softwaru Cisco SD-WAN. Jakmile útočníci získají root oprávnění, obnoví systém do původní verze softwaru, aby minimalizovali detekci.

Mezi akce po kompromitaci připisované UAT-8616 patří:

  • Vytváření lokálních uživatelských účtů navržených tak, aby se podobaly legitimním účtům
  • Vložení autorizovaných klíčů SSH pro root přístup a úprava spouštěcích skriptů SD-WAN
  • Použití NETCONF přes port 830 a SSH pro laterální pohyb v rámci roviny správy
  • Změna protokolů, včetně mazání souborů v /var/log, historie příkazů a záznamů o síťovém připojení

Tato aktivita odráží širší trend sofistikovaných aktérů zaměřujících se na infrastrukturu na okraji sítě s cílem vytvořit si trvalé pozice ve vysoce hodnotných prostředích, včetně sektorů kritické infrastruktury.

Pokyny k opravám a nápravě

Společnost Cisco vydala opravy pro několik softwarových linií. Organizace provozující zranitelné verze musí upgradovat na opravené verze, včetně:

  • Verze před verzí 20.9.1: migrace na pevnou verzi
  • 20.9: aktualizace na 20.9.8.2
  • 20.11.1: aktualizace na 20.12.6.1
  • 20.12.5: aktualizace na 20.12.5.3
  • 20.12.6: aktualizace na 20.12.6.1
  • 20.13.1, 20.14.1, 20.15: aktualizace na 20.15.4.2
  • 20.16.1 a 20.18: aktualizace na 20.18.2.1

Kromě oprav by organizace měly provádět forenzní ověření. Mezi doporučené akce patří kontrola souboru /var/log/auth.log, zda neobsahuje položky odkazující na „Accepted publickey for vmanage-admin“ pocházející z neznámých IP adres. Všechny podezřelé IP adresy by měly být porovnány s nakonfigurovanými systémovými IP adresami uvedenými ve webovém uživatelském rozhraní Cisco Catalyst SD-WAN Manager v části Zařízení > Systémová IP adresa.

Pro detekci potenciálního snížení verze systému nebo neočekávaných událostí restartu systému by měly být analyzovány následující soubory protokolu:

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_synccdb.log

Federální mandáty a regulační reakce

V reakci na potvrzené zneužití přidala Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) do svého katalogu známých zneužitých zranitelností (KEV) zranitelnosti CVE-2026-20127 a CVE-2022-20775. Federální civilní orgány výkonné moci jsou povinny tyto zranitelnosti odstranit do 24 hodin.

CISA rovněž vydala nouzovou směrnici 26-03 s názvem „Zmírnění zranitelností v systémech Cisco SD-WAN“. Směrnice nařizuje federálním agenturám provést inventuru všech zařízení SD-WAN v rozsahu platnosti, aplikovat bezpečnostní aktualizace a posoudit indikátory ohrožení bezpečnosti.

Termíny pro splnění požadavků vyžadují, aby agentury:

  • Odešlete katalog všech systémů SD-WAN, které spadají do rozsahu působnosti, do 26. února 2026, 23:59 ET.
  • Do 5. března 2026, 23:59 ET, poskytněte podrobný seznam dotčených produktů a nápravných opatření.
  • Veškerá opatření ke zpevnění prostředí nahlaste do 26. března 2026, 23:59 ET.

Tento vývoj podtrhuje naléhavou potřebu proaktivní správy záplat, průběžného monitorování a obranného posílení infrastruktury na okraji sítě s cílem zmírnit pokročilé přetrvávající hrozby namířené proti prostředím SD-WAN.

Trendy

Útok ransomwaru Medusa

Pokročilá trvalá hrozba (APT), Ransomware
Se Severní Koreou napojený hackerský aktér známý jako Lazarus Group, sledovaný také jako Diamond Sleet a Pompilus, byl pozorován při útoku na nejmenovanou organizaci na Blízkém východě s využitím ransomwaru Medusa. Bezpečnostní experti dále identifikovali neúspěšný pokus stejných aktérů o narušení systému zaměřený na zdravotnickou organizaci ve Spojených státech. Medusa funguje na modelu...

Nejvíce shlédnuto

Načítání...