פגיעות CVE-2026-20127 ב-SD-WAN

פגיעות בדרגת חומרה מרבית, שסומנה כ-CVE-2026-20127 (ציון CVSS: 10.0), זוהתה בבקר SD-WAN של Cisco Systems Cisco Catalyst ובמנהל SD-WAN של Cisco Catalyst. הפגם מאפשר לתוקף מרוחק לא מאומת לעקוף בקרות אימות ולקבל גישה מנהלית על ידי שליחת בקשה מיוחדת למערכת פגיעה.

הבעיה נובעת מכשל במנגנון האימות של peering, המאפשר לגורם יריב להתחבר כמשתמש פנימי בעל הרשאות גבוהות שאינו משתמש root. עם רמת גישה זו, תוקפים יכולים לקיים אינטראקציה עם שירותי NETCONF ולתפעל תצורות של מארג SD-WAN, דבר שעלול לפגוע בשלמות ובזמינות של רשתות ארגוניות.

מודלי פריסה מושפעים

הפגיעות משפיעה על מספר מודלי פריסה, ללא קשר לתצורה:

• פריסות מקומיות
• ענן SD-WAN מתארח של סיסקו
• ענן SD-WAN מתארח של סיסקו – מנוהל על ידי סיסקו
• סביבת FedRAMP של סיסקו - ענן SD-WAN מתארח

מערכות החשופות לאינטרנט הציבורי, במיוחד אלו עם פורטים פתוחים, עומדות בפני סיכון מוגבר משמעותית לפריצה.

ניצול פעיל ופעילות גורמי איום

חוקרי אבטחה אישרו ניצול פעיל משנת 2023. הקמפיין נמצא תחת הסימון UAT-8616, המוערך כאשכול איומים מתקדם ביותר. ראיות מצביעות על כך שהקבוצה מינפה את הפגיעות הזו של יום אפס כדי לחדור לסביבות SD-WAN של סיסקו ולקבל גישה מוגברת מתמשכת.

מתודולוגיית ההתקפה כוללת יצירת עמית סורר (Non-Property Peer) המצטרף למישור הניהול או הבקרה של SD-WAN. התקן זדוני זה מופיע כרכיב SD-WAN לגיטימי אך זמני, ומאפשר אינטראקציות מהימנות בתוך תשתית הניהול.

לאחר פגיעה ראשונית באפליקציה הפונה לאינטרנט, תוקפים ניצלו את מנגנון העדכון המובנה כדי לשדרג לאחור גרסאות תוכנה. שדרוג לאחור זה מאפשר ניצול של CVE-2022-20775 (ציון CVSS: 7.8), פגם בעל חומרה גבוהה של הסלמת הרשאות בממשק שורת הפקודה (CLI) של Cisco SD-WAN. לאחר קבלת הרשאות root, התוקפים משחזרים את המערכת לגרסת התוכנה המקורית שלה כדי למזער את הגילוי.

פעולות לאחר פשרה המיוחסות ל-UAT-8616 כוללות:

• יצירת חשבונות משתמש מקומיים שנועדו להידמות לחשבונות לגיטימיים

פעילות זו משקפת מגמה רחבה יותר של גורמים מתוחכמים המכוונים לתשתיות קצה הרשת כדי לבסס דריסת רגל עמידה בסביבות בעלות ערך גבוה, כולל מגזרי תשתית קריטיים.

הנחיות לתיקון ותיקון

סיסקו פרסמה תיקונים במספר מערכות תוכנה. ארגונים המפעילים גרסאות פגיעות חייבים לשדרג לגרסאות מתוקנות, כולל:

• גרסאות קודמות ל-20.9.1: מעבר לגרסה קבועה
• 20.9: שדרוג ל-20.9.8.2
• 20.11.1: שדרוג ל-20.12.6.1
• 20.12.5: שדרוג ל-20.12.5.3
• 20.12.6: שדרוג ל-20.12.6.1
• 20.13.1, 20.14.1, 20.15: שדרוג ל-20.15.4.2
• 20.16.1 ו-20.18: שדרוג ל-20.18.2.1

בנוסף לתיקונים, ארגונים צריכים לבצע אימות פורנזי. פעולות מומלצות כוללות סקירת קובץ /var/log/auth.log עבור ערכים המתייחסים ל-'Accepted publickey for vmanage-admin' שמקורם בכתובות IP לא ידועות. יש להשוות כל כתובת IP חשודה עם כתובות IP של המערכת שתצורתן המפורטות בממשק המשתמש של Cisco Catalyst SD-WAN Manager Web UI תחת Devices > System IP.

כדי לזהות אירועי הורדה אפשריים או אתחול מחדש בלתי צפויים, יש לנתח את קבצי היומן הבאים:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

מנדטים פדרליים ותגובה רגולטורית

בתגובה לניצול שאושר, הסוכנות לאבטחת סייבר ותשתיות (CISA) הוסיפה את CVE-2026-20127 ואת CVE-2022-20775 לקטלוג הפגיעויות המנוצלות (KEV) שלה. סוכנויות הרשות האזרחית הפדרלית נדרשות לתקן את הפגיעויות הללו תוך 24 שעות.

CISA פרסמה גם הנחיית חירום 26-03, שכותרתה 'צמצום פגיעויות במערכות SD-WAN של סיסקו'. ההנחיה מחייבת סוכנויות פדרליות למלא את כל נכסי ה-SD-WAN הנמצאים תחת התחום, להחיל עדכוני אבטחה ולהעריך אינדיקטורים לפגיעה.

מועדי ציות דורשים מסוכנויות:

• יש להגיש קטלוג של כל מערכות ה-SD-WAN הנכללות בתוכנית עד ה-26 בפברואר 2026, בשעה 23:59 שעון מזרח ארה"ב.
• יש לספק רשימה מפורטת של המוצרים המושפעים ופעולות התיקון עד ה-5 במרץ 2026, בשעה 23:59 שעון מזרח ארה"ב.
• דווחו על כל האמצעים להקשיחות הסביבה עד 26 במרץ 2026, בשעה 23:59 שעון מזרח ארה"ב.

התפתחויות אלו מדגישות את הצורך הדחוף בניהול טלאים פרואקטיבי, ניטור מתמשך והקשחה הגנתית של תשתית קצה הרשת כדי לצמצם איומים מתמשכים ומתמשכים המכוונים לסביבות SD-WAN.