Ponuda s popustom na više licenci
Baza prijetnji Ranjivost Ranjivost SD-WAN CVE-2026-20127

Ranjivost SD-WAN CVE-2026-20127

Do Mezo. Ranjivost. godine
Prevedi na:

U Cisco Systems Cisco Catalyst SD-WAN kontroleru i Cisco Catalyst SD-WAN Manageru identificirana je ranjivost maksimalne ozbiljnosti, označena kao CVE-2026-20127 (CVSS ocjena: 10,0). Propust omogućuje neautentificiranom udaljenom napadaču da zaobiđe kontrole autentifikacije i dobije administratorski pristup slanjem posebno izrađenog zahtjeva ranjivom sustavu.

Problem proizlazi iz kvara u mehanizmu za provjeru autentičnosti putem peeringa, što omogućuje protivniku da se prijavi kao interni korisnik s visokim privilegijama, koji nije root. S ovom razinom pristupa, napadači mogu komunicirati s NETCONF uslugama i manipulirati konfiguracijama SD-WAN mreže, što potencijalno ugrožava integritet i dostupnost poslovnih mreža.

Pogođeni modeli implementacije

Ranjivost utječe na više modela implementacije, bez obzira na konfiguraciju:

  • Lokalne implementacije
  • Cisco hostirani SD-WAN oblak
  • Cisco hostirani SD-WAN oblak – upravljano od strane Cisco-a
  • Cisco hostirani SD-WAN oblak – FedRAMP okruženje

Sustavi izloženi javnom internetu, posebno oni s otvorenim portovima, suočavaju se sa značajno povećanim rizikom od kompromitacije.

Aktivno iskorištavanje i aktivnost aktera prijetnji

Sigurnosni istraživači potvrdili su aktivno iskorištavanje koje datira još iz 2023. Kampanja se prati pod oznakom UAT-8616, procijenjena kao vrlo napredni klaster prijetnji. Dokazi ukazuju na to da je grupa iskoristila ovu zero-day ranjivost kako bi se infiltrirala u Cisco SD-WAN okruženja i dobila trajni povišeni pristup.

Metodologija napada uključuje stvaranje lažnog peer-a koji se pridružuje upravljačkoj ili kontrolnoj ravnini SD-WAN-a. Ovaj zlonamjerni uređaj pojavljuje se kao legitimna, ali privremena SD-WAN komponenta, omogućujući pouzdane interakcije unutar upravljačke infrastrukture.

Nakon početnog kompromitiranja aplikacije povezane s internetom, napadači su iskoristili ugrađeni mehanizam ažuriranja kako bi smanjili verzije softvera. Ovo smanjenje verzije olakšava iskorištavanje CVE-2022-20775 (CVSS ocjena: 7,8), vrlo ozbiljnog propusta u Cisco SD-WAN softverskom CLI-ju koji eskalira privilegije. Nakon što se dobiju root privilegije, napadači vraćaju sustav na izvornu verziju softvera kako bi smanjili otkrivanje.

Postkompromisne radnje koje se pripisuju UAT-8616 uključuju:

  • Izrada lokalnih korisničkih računa dizajniranih da nalikuju legitimnim računima
  • Umetanje SSH ovlaštenih ključeva za root pristup i izmjena skripti za pokretanje SD-WAN-a
  • Korištenje NETCONF-a preko porta 830 i SSH-a za lateralno kretanje unutar upravljačke ravnine
  • Nedozvoljeno mijenjanje zapisnika, uključujući brisanje datoteka u /var/log, povijesti naredbi i zapisa mrežne veze

Ova aktivnost odražava širi trend sofisticiranih aktera koji ciljaju na infrastrukturu ruba mreže kako bi uspostavili trajna uporišta u okruženjima visoke vrijednosti, uključujući sektore kritične infrastrukture.

Smjernice za krpanje i sanaciju

Cisco je objavio ispravke za više softverskih linija. Organizacije koje koriste ranjive verzije moraju nadograditi na ispravljene verzije, uključujući:

  • Verzije prije verzije 20.9.1: migrirajte na fiksno izdanje
  • 20.9: nadogradnja na 20.9.8.2
  • 20.11.1: nadogradnja na 20.12.6.1
  • 20.12.5: nadogradnja na 20.12.5.3
  • 20.12.6: nadogradnja na 20.12.6.1
  • 20.13.1, 20.14.1, 20.15: nadogradnja na 20.15.4.2
  • 20.16.1 i 20.18: nadogradnja na 20.18.2.1

Uz zakrpe, organizacije bi trebale provesti forenzičku validaciju. Preporučene radnje uključuju pregled datoteke /var/log/auth.log za unose koji se odnose na 'Prihvaćeni javni ključ za vmanage-admin', a koji potječu s nepoznatih IP adresa. Sve sumnjive IP adrese treba usporediti s konfiguriranim IP adresama sustava navedenima u web sučelju Cisco Catalyst SD-WAN Managera pod Uređaji > IP adresa sustava.

Za otkrivanje potencijalnih događaja smanjenja verzije sustava ili neočekivanog ponovnog pokretanja, potrebno je analizirati sljedeće datoteke zapisnika:

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_synccdb.log

Savezni mandati i regulatorni odgovor

Kao odgovor na potvrđeno iskorištavanje, Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) dodala je i CVE-2026-20127 i CVE-2022-20775 u svoj katalog poznatih iskorištenih ranjivosti (KEV). Agencije savezne civilne izvršne vlasti dužne su otkloniti ove ranjivosti u roku od 24 sata.

CISA je također izdala Direktivu za hitne slučajeve 26-03 pod nazivom 'Ublažavanje ranjivosti u Cisco SD-WAN sustavima'. Direktiva nalaže saveznim agencijama da popisuju svu SD-WAN imovinu koja je u dosegu, primijene sigurnosna ažuriranja i procijene pokazatelje kompromitiranja.

Rokovi za usklađivanje zahtijevaju od agencija da:

  • Pošaljite katalog svih SD-WAN sustava koji su obuhvaćeni provjerom do 26. veljače 2026., 23:59 ET.
  • Dostavite detaljan popis pogođenih proizvoda i sanacijskih mjera do 5. ožujka 2026., 23:59 ET.
  • Prijavite sve mjere za poboljšanje okoliša do 26. ožujka 2026., 23:59 ET.

Ovi razvoji naglašavaju hitnu potrebu za proaktivnim upravljanjem zakrpama, kontinuiranim praćenjem i obrambenim jačanjem infrastrukture na rubu mreže kako bi se ublažile napredne uporne prijetnje usmjerene na SD-WAN okruženja.

U trendu

Nagledanije

Učitavam...