Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Haavatavus SD-WAN-i haavatavus CVE-2026-20127

SD-WAN-i haavatavus CVE-2026-20127

Aastaks Mezo aastal Haavatavus
Tõlgi:

Cisco Systemsi Cisco Catalyst SD-WAN Controlleris ja Cisco Catalyst SD-WAN Manageris on tuvastatud maksimaalse tõsidusega haavatavus nimega CVE-2026-20127 (CVSS skoor: 10,0). See viga võimaldab autentimata ründajal mööda hiilida autentimiskontrollidest ja saada administraatori juurdepääsu, saates haavatavale süsteemile spetsiaalselt loodud päringu.

Probleem tuleneb võrguühenduse autentimise mehhanismi tõrkest, mis võimaldab vastase sisse logida sisemise, kõrge privileegiga mitte-juurkasutajana. Selle juurdepääsutasemega saavad ründajad suhelda NETCONF-teenustega ja manipuleerida SD-WAN-võrgu konfiguratsioonidega, mis võib kahjustada ettevõtte võrkude terviklikkust ja käideldavust.

Mõjutatud juurutamismudelid

See haavatavus mõjutab mitut juurutusmudelit, olenemata konfiguratsioonist:

  • Kohapealsed juurutused
  • Cisco hostitud SD-WAN-pilv
  • Cisco hostitud SD-WAN-pilv – Cisco hallatav
  • Cisco hostitud SD-WAN-pilv – FedRAMP-keskkond

Avaliku internetiga ühendatud süsteemid, eriti avatud portidega süsteemid, on oluliselt suurema ohtu sattuda.

Aktiivne ärakasutamine ja ohutegijate tegevus

Turvauurijad on kinnitanud aktiivset ärakasutamist, mis ulatub tagasi aastasse 2023. Kampaaniat jälgitakse tähise UAT-8616 all, mida hinnatakse väga arenenud ohuklastriks. Tõendid näitavad, et rühmitus kasutas seda nullpäeva haavatavust ära Cisco SD-WAN keskkondadesse tungimiseks ja püsiva kõrgendatud juurdepääsu saamiseks.

Rünnaku metoodika hõlmab pahatahtliku partneri loomist, mis liitub SD-WAN-i haldus- või juhtimistasandiga. See pahatahtlik seade näib olevat legitiimne, kuid ajutine SD-WAN-i komponent, võimaldades usaldusväärset suhtlust haldusinfrastruktuuris.

Pärast internetiühendusega rakenduse esialgset ohtu sattumist on ründajad sisseehitatud värskendusmehhanismi ära kasutanud tarkvaraversioonide vanemale versioonile üleminekuks. See varasem versioon hõlbustab CVE-2022-20775 (CVSS skoor: 7,8) ärakasutamist, mis on Cisco SD-WAN tarkvara CLI-s esinev kõrge tõsidusega õiguste eskaleerimise viga. Kui juurõigused on saadud, taastavad ründajad süsteemi algse tarkvaraversiooni, et minimeerida avastamist.

UAT-8616-le omistatud meetmed pärast ohtu seadmist hõlmavad järgmist:

  • Kohalike kasutajakontode loomine, mis on kujundatud nii, et need sarnaneksid õigustatud kontodega
  • SSH-autoriseeritud võtmete sisestamine juurjuurdepääsuks ja SD-WAN-i käivitusskriptide muutmine
  • NETCONF-i kasutamine pordi 830 ja SSH kaudu külgliikumiseks haldustasandil
  • Logide rikkumine, sh failide kustutamine kaustas /var/log, käskude ajalugu ja võrguühenduse kirjed

See tegevus peegeldab laiemat trendi, kus keerukad osalejad võtavad sihikule võrgu serva infrastruktuuri, et luua püsivaid tugipunkte kõrge väärtusega keskkondades, sealhulgas kriitilise infrastruktuuri sektorites.

Parandus- ja parandusjuhised

Cisco on avaldanud parandusi mitmes tarkvarapaketis. Haavatavaid versioone kasutavad organisatsioonid peavad uuendama parandatud versioonidele, sealhulgas:

  • Versioonid enne 20.9.1: migreerimine fikseeritud versioonile
  • 20.9: uuenda versioonile 20.9.8.2
  • 20.11.1: uuenda versioonile 20.12.6.1
  • 20.12.5: uuenda versioonile 20.12.5.3
  • 20.12.6: uuenda versioonile 20.12.6.1
  • 20.13.1, 20.14.1, 20.15: uuenda versioonile 20.15.4.2
  • 20.16.1 ja 20.18: uuenda versioonile 20.18.2.1

Lisaks paranduste tegemisele peaksid organisatsioonid läbi viima kohtuekspertiisi. Soovitatavate toimingute hulka kuulub faili /var/log/auth.log ülevaatamine, et leida tundmatutelt IP-aadressidelt pärinevaid kirjeid „Accepted publickey for vmanage-admin”. Kõik kahtlased IP-aadressid tuleks võrrelda konfigureeritud süsteemi IP-aadressidega, mis on loetletud Cisco Catalyst SD-WAN Manageri veebiliideses jaotises Seadmed > Süsteemi IP.

Võimalike versiooni alandamise või ootamatute taaskäivituste tuvastamiseks tuleks analüüsida järgmisi logifaile:

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_syncdb.log

Föderaalsed mandaadid ja regulatiivne vastus

Vastuseks kinnitatud ärakasutamisele lisas küberturvalisuse ja infrastruktuuri turvalisuse amet (CISA) nii CVE-2026-20127 kui ka CVE-2022-20775 oma teadaolevate ärakasutatud haavatavuste (KEV) kataloogi. Föderaalsed tsiviiltäitevvõimu asutused on kohustatud need haavatavused 24 tunni jooksul parandama.

CISA on välja andnud ka hädaolukorra direktiivi 26-03 pealkirjaga „Cisco SD-WAN-süsteemide haavatavuste leevendamine“. Direktiiv kohustab föderaalasutusi inventuuri tegema kõik SD-WAN-i varad, rakendama turvavärskendusi ja hindama ohtude märke.

Nõuetele vastavuse tähtajad nõuavad asutustelt:

  • Esitage kõigi hõlmatud SD-WAN-süsteemide kataloog hiljemalt 26. veebruariks 2026 kell 23.59 ET.
  • Esitage mõjutatud toodete ja parandusmeetmete üksikasjalik loetelu hiljemalt 5. märtsiks 2026 kell 23.59 ET.
  • Esitage kõikidest keskkonnakaitse meetmetest aruanne hiljemalt 26. märtsiks 2026 kell 23.59 ET.

Need arengud rõhutavad pakilise vajadust ennetava plaastrite haldamise, pideva jälgimise ja võrgu serva infrastruktuuri kaitsva tugevdamise järele, et leevendada SD-WAN-keskkondadele suunatud edasijõudnud püsivaid ohte.

Trendikas

Enim vaadatud

Laadimine...