آسیب‌پذیری CVE-2026-20127 در SD-WAN

یک آسیب‌پذیری با حداکثر شدت، با شناسه CVE-2026-20127 (امتیاز CVSS: 10.0)، در Cisco Systems Cisco Catalyst SD-WAN Controller و Cisco Catalyst SD-WAN Manager شناسایی شده است. این نقص به یک مهاجم از راه دور احراز هویت نشده اجازه می‌دهد تا با ارسال یک درخواست دستکاری‌شده خاص به یک سیستم آسیب‌پذیر، کنترل‌های احراز هویت را دور بزند و به دسترسی مدیریتی دست یابد.

این مشکل ناشی از نقص در مکانیسم احراز هویت peering است که به مهاجم اجازه می‌دهد به عنوان یک کاربر داخلی غیر root با دسترسی بالا وارد سیستم شود. با این سطح دسترسی، مهاجمان می‌توانند با سرویس‌های NETCONF تعامل داشته باشند و پیکربندی‌های ساختار SD-WAN را دستکاری کنند و به طور بالقوه یکپارچگی و در دسترس بودن شبکه‌های سازمانی را به خطر بیندازند.

مدل‌های استقرار تحت تأثیر

این آسیب‌پذیری صرف نظر از پیکربندی، چندین مدل استقرار را تحت تأثیر قرار می‌دهد:

• استقرارهای درون سازمانی
• میزبانی ابری SD-WAN توسط سیسکو
• فضای ابری SD-WAN میزبانی شده توسط سیسکو - مدیریت شده توسط سیسکو
• فضای ابری SD-WAN میزبانی شده توسط سیسکو – محیط FedRAMP

سیستم‌هایی که به اینترنت عمومی متصل هستند، به ویژه آن‌هایی که پورت‌های باز دارند، با خطر قابل توجهی برای نفوذ مواجه هستند.

فعالیت فعال عاملان بهره‌برداری و تهدید

محققان امنیتی، بهره‌برداری فعال از این آسیب‌پذیری را که به سال ۲۰۲۳ برمی‌گردد، تأیید کرده‌اند. این کمپین تحت عنوان UAT-8616 ردیابی می‌شود و به عنوان یک خوشه تهدید بسیار پیشرفته ارزیابی می‌شود. شواهد نشان می‌دهد که این گروه از این آسیب‌پذیری روز صفر برای نفوذ به محیط‌های Cisco SD-WAN و دستیابی به دسترسی پایدار و سطح بالا استفاده کرده است.

روش حمله شامل ایجاد یک گره‌ی سرکش است که به صفحه مدیریت یا کنترل SD-WAN می‌پیوندد. این دستگاه مخرب به عنوان یک جزء SD-WAN قانونی اما موقت ظاهر می‌شود و تعاملات قابل اعتماد را در زیرساخت مدیریت امکان‌پذیر می‌سازد.

پس از نفوذ اولیه به یک برنامه کاربردی اینترنتی، مهاجمان از مکانیزم به‌روزرسانی داخلی برای کاهش نسخه‌های نرم‌افزار سوءاستفاده کرده‌اند. این کاهش نسخه، سوءاستفاده از آسیب‌پذیری CVE-2022-20775 (امتیاز CVSS: 7.8)، یک نقص افزایش امتیاز با شدت بالا در رابط خط فرمان نرم‌افزار Cisco SD-WAN، را تسهیل می‌کند. پس از دستیابی به امتیازات ریشه، مهاجمان سیستم را به نسخه نرم‌افزار اصلی خود بازیابی می‌کنند تا میزان شناسایی را به حداقل برسانند.

اقدامات پس از نفوذ منتسب به UAT-8616 عبارتند از:

• ایجاد حساب‌های کاربری محلی که شبیه حساب‌های کاربری قانونی طراحی شده‌اند

این فعالیت نشان دهنده روند گسترده‌تری از سوی بازیگران پیچیده است که زیرساخت‌های لبه شبکه را هدف قرار می‌دهند تا جایگاه‌های پایداری در محیط‌های با ارزش بالا، از جمله بخش‌های زیرساخت‌های حیاتی، ایجاد کنند.

راهنمایی‌های وصله‌گذاری و اصلاح

سیسکو اصلاحاتی را در چندین رشته نرم‌افزاری منتشر کرده است. سازمان‌هایی که از نسخه‌های آسیب‌پذیر استفاده می‌کنند باید به نسخه‌های اصلاح‌شده ارتقا یابند، از جمله:

• نسخه‌های قبل از 20.9.1: به یک نسخه اصلاح‌شده مهاجرت کنید
• ۲۰.۹: ارتقا به ۲۰.۹.۸.۲
• ۲۰.۱۱.۱: ارتقا به ۲۰.۱۲.۶.۱
• ۲۰.۱۲.۵: ارتقا به ۲۰.۱۲.۵.۳
• ۲۰.۱۲.۶: ارتقا به ۲۰.۱۲.۶.۱
• ‎۲۰.۱۳.۱، ۲۰.۱۴.۱، ۲۰.۱۵: ارتقا به ۲۰.۱۵.۴.۲‎
• ۲۰.۱۶.۱ و ۲۰.۱۸: ارتقا به ۲۰.۱۸.۲.۱

علاوه بر وصله‌گذاری، سازمان‌ها باید اعتبارسنجی قانونی را نیز انجام دهند. اقدامات توصیه‌شده شامل بررسی فایل /var/log/auth.log برای یافتن ورودی‌هایی است که به «Accepted publickey for vmanage-admin» اشاره دارند و از آدرس‌های IP ناشناس سرچشمه می‌گیرند. هرگونه IP مشکوک باید با IPهای سیستم پیکربندی‌شده که در رابط کاربری وب Cisco Catalyst SD-WAN Manager در قسمت Devices > System IP فهرست شده‌اند، مطابقت داده شود.

برای تشخیص رویدادهای احتمالی تنزل رتبه یا راه‌اندازی مجدد غیرمنتظره، فایل‌های گزارش زیر باید تجزیه و تحلیل شوند:

• /var/volatile/log/vdebug
• ‎/var/log/tmplog/vdebug‎
• /var/volatile/log/sw_script_synccdb.log

احکام فدرال و واکنش نظارتی

در پاسخ به سوءاستفاده‌ی تایید شده، آژانس امنیت سایبری و زیرساخت (CISA) هر دو آسیب‌پذیری CVE-2026-20127 و CVE-2022-20775 را به فهرست آسیب‌پذیری‌های شناخته‌شده‌ی مورد سوءاستفاده (KEV) خود اضافه کرد. سازمان‌های فدرال غیرنظامی شاخه‌ی اجرایی موظفند ظرف ۲۴ ساعت این آسیب‌پذیری‌ها را برطرف کنند.

CISA همچنین دستورالعمل اضطراری ۲۶-۰۳ با عنوان «کاهش آسیب‌پذیری‌ها در سیستم‌های SD-WAN سیسکو» را صادر کرده است. این دستورالعمل، سازمان‌های فدرال را موظف می‌کند تا تمام دارایی‌های SD-WAN در محدوده را فهرست‌بندی کنند، به‌روزرسانی‌های امنیتی را اعمال کنند و شاخص‌های نفوذ را ارزیابی کنند.

مهلت‌های انطباق، سازمان‌ها را ملزم به موارد زیر می‌کند:

• کاتالوگی از تمام سیستم‌های SD-WAN موجود در محدوده را تا تاریخ ۲۶ فوریه ۲۰۲۶، ساعت ۱۱:۵۹ شب به وقت شرق آمریکا ارسال کنید.
• فهرست دقیقی از محصولات آسیب‌دیده و اقدامات اصلاحی را تا ۵ مارس ۲۰۲۶، ساعت ۱۱:۵۹ شب به وقت شرق آمریکا ارائه دهید.
• تمام اقدامات مقاوم‌سازی محیطی را تا تاریخ ۲۶ مارس ۲۰۲۶، ساعت ۱۱:۵۹ شب به وقت شرق آمریکا گزارش دهید.

این تحولات، نیاز مبرم به مدیریت پیشگیرانه‌ی وصله‌ها، نظارت مستمر و مقاوم‌سازی دفاعی زیرساخت لبه‌ی شبکه را برای کاهش تهدیدات پیشرفته و مداوم که محیط‌های SD-WAN را هدف قرار می‌دهند، برجسته می‌کند.