Rabattilbud med flere licenser
Trusseldatabase Sårbarhed SD-WAN CVE-2026-20127 Sårbarhed

SD-WAN CVE-2026-20127 Sårbarhed

Med Mezo i Sårbarhed
Oversæt til:

En sårbarhed med maksimal alvorlighed, sporet som CVE-2026-20127 (CVSS-score: 10,0), er blevet identificeret i Cisco Systems Cisco Catalyst SD-WAN Controller og Cisco Catalyst SD-WAN Manager. Fejlen gør det muligt for en uautoriseret fjernangriber at omgå godkendelseskontroller og opnå administrativ adgang ved at sende en specialudformet anmodning til et sårbart system.

Problemet stammer fra en fejl i peering-godkendelsesmekanismen, der tillader en angriber at logge ind som en intern, højprivilegeret ikke-root-bruger. Med dette adgangsniveau kan angribere interagere med NETCONF-tjenester og manipulere SD-WAN-strukturkonfigurationer, hvilket potentielt kompromitterer integriteten og tilgængeligheden af virksomhedsnetværk.

Berørte implementeringsmodeller

Sårbarheden påvirker flere implementeringsmodeller, uanset konfiguration:

  • Implementeringer på stedet
  • Cisco-hostet SD-WAN-cloud
  • Cisco-hostet SD-WAN Cloud – Cisco-administreret
  • Cisco Hosted SD-WAN Cloud – FedRAMP-miljø

Systemer, der er eksponeret til det offentlige internet, især dem med åbne porte, står over for en betydelig forhøjet risiko for kompromittering.

Aktiv udnyttelse og trusselsaktøraktivitet

Sikkerhedsforskere har bekræftet aktiv udnyttelse, der går tilbage til 2023. Kampagnen spores under betegnelsen UAT-8616, vurderet som en meget avanceret trusselsklynge. Beviser tyder på, at gruppen udnyttede denne zero-day-sårbarhed til at infiltrere Cisco SD-WAN-miljøer og opnå vedvarende, forhøjet adgang.

Angrebsmetoden omfatter oprettelsen af en "rogue peer", der tilslutter sig SD-WAN-administrations- eller kontrolplanet. Denne ondsindede enhed fremstår som en legitim, men midlertidig SD-WAN-komponent, hvilket muliggør pålidelige interaktioner inden for administrationsinfrastrukturen.

Efter den første kompromittering af en internetbaseret applikation har angriberne udnyttet den indbyggede opdateringsmekanisme til at nedgradere softwareversioner. Denne nedgradering muliggør udnyttelse af CVE-2022-20775 (CVSS-score: 7,8), en alvorlig fejl i forbindelse med eskalering af rettigheder i Cisco SD-WAN Software CLI. Når root-rettigheder er opnået, gendanner angriberne systemet til dets oprindelige softwareversion for at minimere detektion.

Handlinger efter kompromittering tilskrevet UAT-8616 inkluderer:

  • Oprettelse af lokale brugerkonti, der er designet til at ligne legitime konti
  • Indsættelse af SSH-autoriserede nøgler til root-adgang og ændring af SD-WAN-opstartsskripter
  • Brug af NETCONF over port 830 og SSH til lateral bevægelse inden for administrationsplanet
  • Logmanipulation, herunder sletning af filer under /var/log, kommandohistorik og netværksforbindelsesposter

Denne aktivitet afspejler en bredere tendens til, at sofistikerede aktører målretter mod netværksinfrastruktur i kanten af netværket for at etablere varigt fodfæste i miljøer med høj værdi, herunder kritiske infrastruktursektorer.

Vejledning til programrettelser og afhjælpning

Cisco har udgivet rettelser på tværs af flere softwarepakker. Organisationer, der driver sårbare versioner, skal opgradere til afhjælpede versioner, herunder:

  • Versioner før 20.9.1: migrer til en fast udgivelse
  • 20.9: opgrader til 20.9.8.2
  • 20.11.1: opgrader til 20.12.6.1
  • 20.12.5: opgrader til 20.12.5.3
  • 20.12.6: opgrader til 20.12.6.1
  • 20.13.1, 20.14.1, 20.15: opgrader til 20.15.4.2
  • 20.16.1 og 20.18: opgrader til 20.18.2.1

Ud over programrettelser bør organisationer udføre retsmedicinsk validering. Anbefalede handlinger omfatter gennemgang af filen /var/log/auth.log for poster, der refererer til 'Accepteret offentlig nøgle til vmanage-admin', der stammer fra ukendte IP-adresser. Eventuelle mistænkelige IP-adresser bør krydsrefereres med konfigurerede system-IP-adresser, der er angivet i Cisco Catalyst SD-WAN Manager Web UI under Enheder > System-IP.

For at opdage potentielle nedgraderinger eller uventede genstartshændelser bør følgende logfiler analyseres:

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_synccdb.log

Føderale mandater og regulatorisk reaktion

Som reaktion på bekræftet udnyttelse tilføjede Cybersecurity and Infrastructure Security Agency (CISA) både CVE-2026-20127 og CVE-2022-20775 til sit katalog over kendte udnyttede sårbarheder (KEV). De føderale civile myndigheder i den udøvende magt skal afhjælpe disse sårbarheder inden for 24 timer.

CISA har også udstedt nøddirektiv 26-03 med titlen 'Afbød sårbarheder i Cisco SD-WAN-systemer'. Direktivet pålægger føderale myndigheder at opgøre alle SD-WAN-aktiver, der er omfattet af systemet, implementere sikkerhedsopdateringer og vurdere indikatorer for kompromittering.

Overholdelsesfrister kræver, at myndighederne:

  • Indsend et katalog over alle SD-WAN-systemer inden for rammerne af programmet senest den 26. februar 2026 kl. 23:59 ET.
  • Fremlæg en detaljeret oversigt over berørte produkter og afhjælpende handlinger senest den 5. marts 2026 kl. 23:59 ET.
  • Rapportér alle miljøforbedrende foranstaltninger senest den 26. marts 2026 kl. 23:59 ET.

Disse udviklinger understreger det presserende behov for proaktiv patch-styring, kontinuerlig overvågning og defensiv hærdning af netværksinfrastrukturens kant for at afbøde avancerede, vedvarende trusler rettet mod SD-WAN-miljøer.

Trending

Medusa Ransomware-angrebskampagne

Advanced Persistent Threat (APT), Ransomware
Den nordkoreansk-tilknyttede trusselsaktør kendt som Lazarus Group, også sporet som Diamond Sleet og Pompilus, er blevet observeret i gang med at anvende Medusa ransomware i et angreb mod en unavngiven organisation i Mellemøsten. Sikkerhedsforskere identificerede yderligere et mislykket indtrængningsforsøg fra de samme aktører rettet mod en sundhedsorganisation i USA. Medusa opererer under en...

Mest sete

Indlæser...