Ευπάθεια SD-WAN CVE-2026-20127

Ένα κενό ασφαλείας μέγιστης σοβαρότητας, που παρακολουθείται ως CVE-2026-20127 (βαθμολογία CVSS: 10,0), εντοπίστηκε στον ελεγκτή SD-WAN της Cisco Systems, Cisco Catalyst, και στον διαχειριστή SD-WAN της Cisco Catalyst. Το κενό ασφαλείας επιτρέπει σε έναν μη εξουσιοδοτημένο απομακρυσμένο εισβολέα να παρακάμψει τα στοιχεία ελέγχου ταυτότητας και να αποκτήσει πρόσβαση διαχειριστή στέλνοντας ένα ειδικά σχεδιασμένο αίτημα σε ένα ευάλωτο σύστημα.

Το πρόβλημα πηγάζει από μια αποτυχία στον μηχανισμό ελέγχου ταυτότητας peering, επιτρέποντας σε έναν εισβολέα να συνδεθεί ως εσωτερικός χρήστης με υψηλά δικαιώματα που δεν είναι root. Με αυτό το επίπεδο πρόσβασης, οι εισβολείς μπορούν να αλληλεπιδράσουν με υπηρεσίες NETCONF και να χειραγωγήσουν τις διαμορφώσεις του SD-WAN fabric, ενδεχομένως θέτοντας σε κίνδυνο την ακεραιότητα και τη διαθεσιμότητα των εταιρικών δικτύων.

Μοντέλα ανάπτυξης που επηρεάζονται

Η ευπάθεια επηρεάζει πολλά μοντέλα ανάπτυξης, ανεξάρτητα από τη διαμόρφωση:

• Εγκαταστάσεις σε τοπικό επίπεδο
• Φιλοξενούμενο από την Cisco SD-WAN Cloud
• Φιλοξενούμενο από την Cisco SD-WAN Cloud – Cisco Managed
• Φιλοξενούμενο από την Cisco SD-WAN Cloud – Περιβάλλον FedRAMP

Τα συστήματα που εκτίθενται στο δημόσιο διαδίκτυο, ιδίως εκείνα με ανοιχτές θύρες, αντιμετωπίζουν σημαντικά αυξημένο κίνδυνο παραβίασης.

Ενεργητική Εκμετάλλευση και Δραστηριότητα Απειλητικών Φορέων

Οι ερευνητές ασφαλείας επιβεβαίωσαν ενεργή εκμετάλλευση που χρονολογείται από το 2023. Η καμπάνια παρακολουθείται με την ονομασία UAT-8616, η οποία αξιολογείται ως ένα εξαιρετικά προηγμένο σύμπλεγμα απειλών. Τα στοιχεία δείχνουν ότι η ομάδα αξιοποίησε αυτήν την ευπάθεια zero-day για να διεισδύσει σε περιβάλλοντα Cisco SD-WAN και να αποκτήσει μόνιμη αυξημένη πρόσβαση.

Η μεθοδολογία επίθεσης περιλαμβάνει τη δημιουργία ενός απατεώνα peer που συνδέεται στο επίπεδο διαχείρισης ή ελέγχου SD-WAN. Αυτή η κακόβουλη συσκευή εμφανίζεται ως ένα νόμιμο αλλά προσωρινό στοιχείο SD-WAN, επιτρέποντας αξιόπιστες αλληλεπιδράσεις εντός της υποδομής διαχείρισης.

Μετά την αρχική παραβίαση μιας εφαρμογής που συνδέεται με το διαδίκτυο, οι εισβολείς εκμεταλλεύτηκαν τον ενσωματωμένο μηχανισμό ενημέρωσης για να υποβαθμίσουν τις εκδόσεις λογισμικού. Αυτή η υποβάθμιση διευκολύνει την εκμετάλλευση του CVE-2022-20775 (βαθμολογία CVSS: 7,8), ενός σφάλματος κλιμάκωσης δικαιωμάτων υψηλής σοβαρότητας στο Cisco SD-WAN Software CLI. Μόλις αποκτηθούν δικαιώματα root, οι εισβολείς επαναφέρουν το σύστημα στην αρχική του έκδοση λογισμικού για να ελαχιστοποιήσουν την ανίχνευση.

Οι ενέργειες μετά τον συμβιβασμό που αποδίδονται στο UAT-8616 περιλαμβάνουν:

• Δημιουργία τοπικών λογαριασμών χρηστών που έχουν σχεδιαστεί ώστε να μοιάζουν με νόμιμους λογαριασμούς

Αυτή η δραστηριότητα αντικατοπτρίζει μια ευρύτερη τάση εξελιγμένων φορέων που στοχεύουν στην υποδομή άκρου δικτύου για να δημιουργήσουν ανθεκτικά ερείσματα σε περιβάλλοντα υψηλής αξίας, συμπεριλαμβανομένων των τομέων κρίσιμων υποδομών.

Οδηγίες για επιδιορθώσεις και αποκατάσταση

Η Cisco έχει κυκλοφορήσει διορθώσεις σε πολλαπλές σειρές λογισμικού. Οι οργανισμοί που χρησιμοποιούν ευάλωτες εκδόσεις πρέπει να αναβαθμίσουν σε διορθωμένες εκδόσεις, όπως:

• Εκδόσεις πριν από την 20.9.1: μετεγκατάσταση σε μια σταθερή έκδοση
• 20.9: αναβάθμιση σε 20.9.8.2
• 20.11.1: αναβάθμιση σε 20.12.6.1
• 20.12.5: αναβάθμιση σε 20.12.5.3
• 20.12.6: αναβάθμιση σε 20.12.6.1
• 20.13.1, 20.14.1, 20.15: αναβάθμιση σε 20.15.4.2
• 20.16.1 και 20.18: αναβάθμιση σε 20.18.2.1

Εκτός από την ενημέρωση κώδικα, οι οργανισμοί θα πρέπει να διεξάγουν εγκληματολογική επικύρωση. Οι προτεινόμενες ενέργειες περιλαμβάνουν την αναθεώρηση του αρχείου /var/log/auth.log για καταχωρήσεις που αναφέρονται σε 'Accepted publickey for vmanage-admin' και προέρχονται από άγνωστες διευθύνσεις IP. Οποιεσδήποτε ύποπτες διευθύνσεις IP θα πρέπει να διασταυρώνονται με τις διαμορφωμένες διευθύνσεις IP συστήματος που αναφέρονται στο περιβάλλον εργασίας χρήστη Web του Cisco Catalyst SD-WAN Manager στην ενότητα Συσκευές > IP συστήματος.

Για την ανίχνευση πιθανών υποβαθμίσεων ή μη αναμενόμενων συμβάντων επανεκκίνησης, θα πρέπει να αναλυθούν τα ακόλουθα αρχεία καταγραφής:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Ομοσπονδιακές Εντολές και Ρυθμιστική Απόκριση

Σε απάντηση στην επιβεβαιωμένη εκμετάλλευση, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) πρόσθεσε τόσο το CVE-2026-20127 όσο και το CVE-2022-20775 στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV). Οι υπηρεσίες της Ομοσπονδιακής Πολιτικής Εκτελεστικής Υπηρεσίας υποχρεούνται να αποκαταστήσουν αυτές τις ευπάθειες εντός 24 ωρών.

Η CISA εξέδωσε επίσης την Οδηγία Έκτακτης Ανάγκης 26-03, με τίτλο «Μετριασμός των τρωτών σημείων στα συστήματα SD-WAN της Cisco». Η οδηγία υποχρεώνει τις ομοσπονδιακές υπηρεσίες να καταγράψουν όλα τα περιουσιακά στοιχεία SD-WAN που εμπίπτουν στο πεδίο εφαρμογής, να εφαρμόσουν ενημερώσεις ασφαλείας και να αξιολογήσουν για ενδείξεις παραβίασης.

Οι προθεσμίες συμμόρφωσης απαιτούν από τους οργανισμούς να:

• Υποβάλετε έναν κατάλογο όλων των συστημάτων SD-WAN που περιλαμβάνονται στο πεδίο εφαρμογής έως τις 26 Φεβρουαρίου 2026, 23:59 ET.
• Παρέχετε λεπτομερή απογραφή των επηρεαζόμενων προϊόντων και των ενεργειών αποκατάστασης έως τις 5 Μαρτίου 2026, 23:59 ET.
• Αναφέρετε όλα τα μέτρα σκλήρυνσης του περιβάλλοντος έως τις 26 Μαρτίου 2026, 23:59 ET.

Αυτές οι εξελίξεις υπογραμμίζουν την επείγουσα ανάγκη για προληπτική διαχείριση ενημερώσεων κώδικα, συνεχή παρακολούθηση και αμυντική ενίσχυση της υποδομής δικτύου στα άκρα, για τον μετριασμό των προηγμένων επίμονων απειλών που στοχεύουν σε περιβάλλοντα SD-WAN.