SD-WAN CVE-2026-20127 भेद्यता

Cisco Systems के Cisco Catalyst SD-WAN Controller और Cisco Catalyst SD-WAN Manager में CVE-2026-20127 (CVSS स्कोर: 10.0) के रूप में चिह्नित एक अत्यंत गंभीर सुरक्षा खामी की पहचान की गई है। इस खामी के कारण एक अनधिकृत रिमोट हमलावर प्रमाणीकरण नियंत्रणों को दरकिनार करते हुए, एक विशेष रूप से तैयार किए गए अनुरोध को असुरक्षित सिस्टम पर भेजकर प्रशासनिक पहुँच प्राप्त कर सकता है।

यह समस्या पीयरिंग प्रमाणीकरण तंत्र की विफलता से उत्पन्न होती है, जिससे हमलावर आंतरिक, उच्च विशेषाधिकार प्राप्त गैर-रूट उपयोगकर्ता के रूप में लॉग इन कर सकता है। इस स्तर की पहुँच के साथ, हमलावर NETCONF सेवाओं के साथ इंटरैक्ट कर सकते हैं और SD-WAN फैब्रिक कॉन्फ़िगरेशन में हेरफेर कर सकते हैं, जिससे उद्यम नेटवर्क की अखंडता और उपलब्धता खतरे में पड़ सकती है।

प्रभावित परिनियोजन मॉडल

यह भेद्यता कॉन्फ़िगरेशन की परवाह किए बिना, कई परिनियोजन मॉडलों को प्रभावित करती है:

• ऑन-प्रेम परिनियोजन
• सिस्को होस्टेड एसडी-डब्ल्यूएन क्लाउड
• सिस्को होस्टेड एसडी-डब्ल्यूएन क्लाउड – सिस्को मैनेज्ड
• सिस्को होस्टेड एसडी-डब्ल्यूएन क्लाउड – फेडरैम्प वातावरण

सार्वजनिक इंटरनेट से जुड़े सिस्टम, विशेष रूप से खुले पोर्ट वाले सिस्टम, सुरक्षा उल्लंघन के काफी उच्च जोखिम का सामना करते हैं।

सक्रिय शोषण और खतरा पैदा करने वाले तत्वों की गतिविधि

सुरक्षा शोधकर्ताओं ने 2023 से सक्रिय शोषण की पुष्टि की है। इस अभियान को UAT-8616 पदनाम के तहत ट्रैक किया जा रहा है, जिसे एक अत्यधिक उन्नत खतरे के समूह के रूप में मूल्यांकित किया गया है। साक्ष्य बताते हैं कि समूह ने इस शून्य-दिन भेद्यता का लाभ उठाकर सिस्को एसडी-डब्ल्यूएन वातावरण में घुसपैठ की और लगातार उच्च पहुंच प्राप्त की।

इस हमले की कार्यप्रणाली में एक अवैध पीयर का निर्माण शामिल है जो SD-WAN प्रबंधन या नियंत्रण तल से जुड़ जाता है। यह दुर्भावनापूर्ण डिवाइस एक वैध लेकिन अस्थायी SD-WAN घटक के रूप में दिखाई देता है, जिससे प्रबंधन अवसंरचना के भीतर विश्वसनीय अंतःक्रियाएं संभव हो पाती हैं।

इंटरनेट से जुड़े एक एप्लिकेशन में शुरुआती सेंधमारी के बाद, हमलावरों ने अंतर्निहित अपडेट तंत्र का फायदा उठाकर सॉफ़्टवेयर संस्करणों को डाउनग्रेड कर दिया। इस डाउनग्रेड से सिस्को एसडी-डब्ल्यूएन सॉफ़्टवेयर सीएलआई में मौजूद उच्च-गंभीरता वाले विशेषाधिकार वृद्धि दोष, CVE-2022-20775 (CVSS स्कोर: 7.8) का फायदा उठाने में मदद मिली। रूट विशेषाधिकार प्राप्त करने के बाद, हमलावर पकड़े जाने से बचने के लिए सिस्टम को उसके मूल सॉफ़्टवेयर संस्करण पर पुनर्स्थापित कर देते हैं।

UAT-8616 से संबंधित समझौता-पश्चात कार्रवाइयों में निम्नलिखित शामिल हैं:

• वैध खातों से मिलते-जुलते स्थानीय उपयोगकर्ता खाते बनाना

यह गतिविधि परिष्कृत अभिनेताओं द्वारा नेटवर्क एज इंफ्रास्ट्रक्चर को लक्षित करने की एक व्यापक प्रवृत्ति को दर्शाती है, जिसका उद्देश्य महत्वपूर्ण बुनियादी ढांचा क्षेत्रों सहित उच्च-मूल्य वाले वातावरण में टिकाऊ पकड़ स्थापित करना है।

पैचिंग और सुधार संबंधी मार्गदर्शन

सिस्को ने कई सॉफ्टवेयर संस्करणों में सुधार जारी किए हैं। असुरक्षित संस्करणों का उपयोग करने वाले संगठनों को संशोधित संस्करणों में अपग्रेड करना होगा, जिनमें निम्नलिखित शामिल हैं:

• 20.9.1 से पहले के संस्करण: एक निश्चित रिलीज़ पर माइग्रेट करें
• 20.9: 20.9.8.2 में अपग्रेड करें
• 20.11.1: 20.12.6.1 में अपग्रेड करें
• 20.12.5: 20.12.5.3 में अपग्रेड करें
• 20.12.6: 20.12.6.1 में अपग्रेड करें
• 20.13.1, 20.14.1, 20.15: 20.15.4.2 में अपग्रेड करें
• 20.16.1 और 20.18: 20.18.2.1 में अपग्रेड करें

पैचिंग के अलावा, संगठनों को फोरेंसिक सत्यापन भी करना चाहिए। अनुशंसित कार्रवाइयों में अज्ञात आईपी पतों से उत्पन्न 'vmanage-admin के लिए स्वीकृत सार्वजनिक कुंजी' से संबंधित प्रविष्टियों के लिए /var/log/auth.log फ़ाइल की समीक्षा करना शामिल है। किसी भी संदिग्ध आईपी पते का मिलान Cisco Catalyst SD-WAN Manager वेब यूआई में Devices > System IP के अंतर्गत सूचीबद्ध कॉन्फ़िगर किए गए सिस्टम आईपी से किया जाना चाहिए।

संभावित डाउनग्रेड या अप्रत्याशित रीबूट घटनाओं का पता लगाने के लिए, निम्नलिखित लॉग फ़ाइलों का विश्लेषण किया जाना चाहिए:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

संघीय आदेश और नियामक प्रतिक्रिया

पुष्टि किए गए दुरुपयोग के जवाब में, साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी (CISA) ने CVE-2026-20127 और CVE-2022-20775 दोनों को अपनी ज्ञात उपयोगित कमजोरियों (KEV) की सूची में शामिल कर लिया है। संघीय नागरिक कार्यकारी शाखा एजेंसियों को 24 घंटे के भीतर इन कमजोरियों को दूर करना अनिवार्य है।

CISA ने 'सिस्को SD-WAN सिस्टम में कमजोरियों को कम करना' शीर्षक से आपातकालीन निर्देश 26-03 भी जारी किया है। यह निर्देश संघीय एजेंसियों को दायरे में आने वाली सभी SD-WAN संपत्तियों की सूची बनाने, सुरक्षा अपडेट लागू करने और सुरक्षा उल्लंघन के संकेतों का आकलन करने का आदेश देता है।

अनुपालन की समय सीमा के तहत एजेंसियों को निम्नलिखित कार्य करने होंगे:

• 26 फरवरी, 2026 को रात 11:59 बजे पूर्वी समय (ईटी) तक सभी दायरे में आने वाले एसडी-डब्ल्यूएन सिस्टमों की सूची जमा करें।
• प्रभावित उत्पादों की विस्तृत सूची और निवारण संबंधी कार्रवाइयां 5 मार्च, 2026 को रात 11:59 बजे पूर्वी समय तक प्रदान करें।
• पर्यावरण सुदृढ़ीकरण से संबंधित सभी उपायों की रिपोर्ट 26 मार्च, 2026 को रात 11:59 बजे पूर्वी समय (ईटी) तक प्रस्तुत करें।

ये घटनाक्रम एसडी-डब्ल्यूएन वातावरण को लक्षित करने वाले उन्नत निरंतर खतरों को कम करने के लिए सक्रिय पैच प्रबंधन, निरंतर निगरानी और नेटवर्क एज इन्फ्रास्ट्रक्चर की सुरक्षात्मक मजबूती की तत्काल आवश्यकता को रेखांकित करते हैं।