SD-WAN CVE-2026-20127 -haavoittuvuus

Cisco Systemsin Cisco Catalyst SD-WAN Controller- ja Cisco Catalyst SD-WAN Manager -järjestelmissä on tunnistettu vakava haavoittuvuus, jonka tunnistenumero on CVE-2026-20127 (CVSS-pistemäärä: 10.0). Haavoittuvuuden avulla todentamaton etähyökkääjä voi ohittaa todennuskontrollit ja saada järjestelmänvalvojan oikeudet lähettämällä haavoittuvaan järjestelmään erityisesti muotoillun pyynnön.

Ongelma johtuu vertaistukimekanismin häiriöstä, jonka ansiosta hyökkääjä voi kirjautua sisään sisäisenä, korkeilla oikeuksilla varustettuna ei-root-käyttäjänä. Näillä käyttöoikeuksilla hyökkääjät voivat olla vuorovaikutuksessa NETCONF-palveluiden kanssa ja manipuloida SD-WAN-verkon kokoonpanoja, mikä voi vaarantaa yritysverkkojen eheyden ja saatavuuden.

Vaikuttavat käyttöönottomallit

Haavoittuvuus vaikuttaa useisiin käyttöönottomalleihin kokoonpanosta riippumatta:

• Paikalliset käyttöönotot
• Cisco Hosted SD-WAN -pilvipalvelu
• Cisco Hosted SD-WAN Cloud – Cisco Managed
• Cisco Hosted SD-WAN Cloud – FedRAMP-ympäristö

Julkiseen internetiin kytketyissä järjestelmissä, erityisesti niissä, joissa on avoimia portteja, on huomattavasti suurempi tietomurron riski.

Aktiivinen hyväksikäyttö ja uhkatoimijoiden toiminta

Tietoturvatutkijat ovat vahvistaneet aktiivista haavoittuvuutta vuodesta 2023 lähtien. Kampanjaa seurataan nimikkeellä UAT-8616, ja se on arvioitu erittäin kehittyneeksi uhkaklusteriksi. Todisteet viittaavat siihen, että ryhmä hyödynsi tätä nollapäivähaavoittuvuutta tunkeutuakseen Cisco SD-WAN -ympäristöihin ja saadakseen pysyvän laajennetun käyttöoikeuden.

Hyökkäysmenetelmään kuuluu haitallisen vertaislaitteen luominen, joka liittyy SD-WAN-hallinta- tai ohjaustasolle. Tämä haitallinen laite näyttää lailliselta mutta väliaikaiselta SD-WAN-komponentilta, mikä mahdollistaa luotettavan vuorovaikutuksen hallintainfrastruktuurin sisällä.

Internetiin yhdistetyn sovelluksen alun perin murtauduttua hyökkääjät ovat hyödyntäneet sisäänrakennettua päivitysmekanismia ohjelmistoversioiden alentamiseen. Tämä alentaminen mahdollistaa CVE-2022-20775:n (CVSS-pistemäärä: 7,8) hyödyntämisen. Cisco SD-WAN -ohjelmiston komentoriviliittymässä on vakava oikeuksien eskalointihaavoittuvuus. Kun pääkäyttäjän oikeudet on saatu, hyökkääjät palauttavat järjestelmän alkuperäiseen ohjelmistoversioonsa havaitakseen ongelman mahdollisimman vähän.

UAT-8616:een liittyviä vaarantumisen jälkeisiä toimia ovat:

• Paikallisten käyttäjätilien luominen, jotka on suunniteltu muistuttamaan laillisia tilejä
• SSH-valtuutettujen avainten lisääminen pääkäyttäjän oikeuksiin ja SD-WAN-käynnistysskriptien muokkaamiseen

• NETCONFin käyttö portin 830 ja SSH:n kautta sivuttaisliikkeeseen hallintatasossa

• Lokien peukalointi, mukaan lukien tiedostojen poistaminen /var/log-kansiosta, komentohistoria ja verkkoyhteystietueet

Tämä toiminta heijastaa laajempaa trendiä, jossa kehittyneet toimijat kohdistavat toimintansa verkon reunainfrastruktuuriin luodakseen kestäviä jalansijaa arvokkaissa ympäristöissä, mukaan lukien kriittiset infrastruktuurisektorit.

Korjaus- ja korjausohjeet

Cisco on julkaissut korjauksia useisiin ohjelmistopaketteihin. Haavoittuvia versioita käyttävien organisaatioiden on päivitettävä korjattuihin versioihin, mukaan lukien:

• Versiot ennen versiota 20.9.1: siirtyminen korjattuun julkaisuun
• 20.9: päivitys versioon 20.9.8.2
• 20.11.1: päivitys versioon 20.12.6.1
• 20.12.5: päivitys versioon 20.12.5.3
• 20.12.6: päivitys versioon 20.12.6.1
• 20.13.1, 20.14.1, 20.15: päivitys versioon 20.15.4.2
• 20.16.1 ja 20.18: päivitys versioon 20.18.2.1

Korjausten lisäksi organisaatioiden tulisi suorittaa rikostekninen validointi. Suositeltuihin toimenpiteisiin kuuluu /var/log/auth.log-tiedoston tarkistaminen tuntemattomista IP-osoitteista peräisin olevien 'Accepted publickey for vmanage-admin' -viittausten varalta. Kaikki epäilyttävät IP-osoitteet tulisi verrata Cisco Catalyst SD-WAN Manager -verkkokäyttöliittymän Laitteet > Järjestelmän IP -kohdassa lueteltuihin määritettyihin järjestelmän IP-osoitteisiin.

Mahdollisten alempien versioiden tai odottamattomien uudelleenkäynnistystapahtumien havaitsemiseksi seuraavat lokitiedostot tulisi analysoida:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_syncdb.log-tiedosto

Liittovaltion mandaatit ja sääntelyyn liittyvät vastaukset

Vastauksena vahvistettuihin hyväksikäyttötapauksiin Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) lisäsi sekä CVE-2026-20127:n että CVE-2022-20775:n tunnettujen hyväksikäytettyjen haavoittuvuuksien (KEV) luetteloonsa. Liittovaltion siviilihallinnon virastojen on korjattava nämä haavoittuvuudet 24 tunnin kuluessa.

CISA on myös antanut hätädirektiivin 26-03 nimeltä "Cisco SD-WAN -järjestelmien haavoittuvuuksien lieventäminen". Direktiivi velvoittaa liittovaltion virastoja inventoimaan kaikki järjestelmän piiriin kuuluvat SD-WAN-resurssit, asentamaan tietoturvapäivityksiä ja arvioimaan tietomurron merkkejä.

Määräaikojen noudattaminen edellyttää virastoilta seuraavaa:

• Lähetä luettelo kaikista piiriin kuuluvista SD-WAN-järjestelmistä viimeistään 26. helmikuuta 2026 klo 23.59 ET.
• Toimita yksityiskohtainen luettelo tuotteista, joihin ongelma vaikuttaa, ja korjaavista toimenpiteistä viimeistään 5. maaliskuuta 2026 klo 23.59 ET.
• Ilmoita kaikista ympäristön suojaustoimenpiteistä viimeistään 26. maaliskuuta 2026 klo 23.59 ET.

Nämä kehityskulut korostavat kiireellistä tarvetta ennakoivalle korjauspäivitysten hallinnalle, jatkuvalle valvonnalle ja verkon reunainfrastruktuurin puolustavalle vahvistamiselle SD-WAN-ympäristöihin kohdistuvien edistyneiden jatkuvien uhkien lieventämiseksi.