SD-WAN CVE-2026-20127 sebezhetőség

A Cisco Systems Cisco Catalyst SD-WAN Controller és a Cisco Catalyst SD-WAN Manager rendszerekben egy CVE-2026-20127 azonosítójú (CVSS pontszám: 10.0) maximális súlyosságú sebezhetőséget azonosítottak. A hiba lehetővé teszi a nem hitelesített távoli támadók számára, hogy megkerüljék a hitelesítési vezérlőket, és adminisztrátori hozzáférést szerezzenek egy speciálisan kialakított kérés küldésével a sebezhető rendszerre.

A probléma a peering hitelesítési mechanizmus hibájából ered, amely lehetővé teszi a támadó számára, hogy belső, magas jogosultságú, nem root felhasználóként jelentkezzen be. Ezzel a hozzáférési szinttel a támadók interakcióba léphetnek a NETCONF szolgáltatásokkal és manipulálhatják az SD-WAN hálózat konfigurációját, potenciálisan veszélyeztetve a vállalati hálózatok integritását és rendelkezésre állását.

Érintett telepítési modellek

A sebezhetőség több telepítési modellt is érint, a konfigurációtól függetlenül:

• Helyi telepítések
• Cisco Hosted SD-WAN felhő
• Cisco Hosted SD-WAN felhő – Cisco Managed
• Cisco Hosted SD-WAN felhő – FedRAMP környezet

A nyilvános internetre kitett rendszerek, különösen a nyitott portokkal rendelkezők, jelentősen megnövekedett kockázatnak vannak kitéve a kompromittálódás szempontjából.

Aktív kizsákmányolás és fenyegető szereplők tevékenysége

Biztonsági kutatók megerősítették a 2023-ig visszanyúló aktív kihasználást. A kampányt az UAT-8616 azonosító alatt követik nyomon, amelyet egy rendkívül fejlett fenyegetési klaszterként értékelnek. A bizonyítékok arra utalnak, hogy a csoport ezt a nulladik napi sebezhetőséget kihasználva behatolt a Cisco SD-WAN környezetekbe, és tartós, megemelt szintű hozzáférést szerzett.

A támadási módszertan magában foglalja egy rosszindulatú eszköz létrehozását, amely csatlakozik az SD-WAN felügyeleti vagy vezérlősíkjához. Ez a rosszindulatú eszköz legitim, de ideiglenes SD-WAN-összetevőként jelenik meg, lehetővé téve a megbízható interakciókat a felügyeleti infrastruktúrán belül.

Egy internetre mutató alkalmazás kezdeti feltörését követően a támadók a beépített frissítési mechanizmust kihasználva szoftververziókat frissítettek. Ez a visszalépés megkönnyíti a CVE-2022-20775 (CVSS pontszám: 7,8) kihasználását, amely a Cisco SD-WAN szoftver parancssori felületének súlyos jogosultság-eszkalációs hibája. A root jogosultságok megszerzése után a támadók visszaállítják a rendszert az eredeti szoftververzióra az észlelés minimalizálása érdekében.

Az UAT-8616-nak tulajdonított kompromittálódás utáni intézkedések a következők:

• Helyi felhasználói fiókok létrehozása, amelyek a legitim fiókokhoz hasonlítanak
• SSH által engedélyezett kulcsok beillesztése root hozzáféréshez és az SD-WAN indítószkriptek módosításához

• NETCONF használata a 830-as porton és SSH-n keresztül a felügyeleti síkon belüli oldalirányú mozgáshoz

• Naplóbejegyzések manipulálása, beleértve a /var/log könyvtárban található fájlok, a parancselőzmények és a hálózati kapcsolati rekordok törlését

Ez a tevékenység egy szélesebb körű trendet tükröz, amelyben a kifinomult szereplők a hálózati pereminfrastruktúrát veszik célba, hogy tartós pozíciókat szerezzenek a nagy értékű környezetekben, beleértve a kritikus infrastrukturális szektorokat is.

Javítási és szervizelési útmutató

A Cisco több szoftvercsomaghoz is kiadott javításokat. A sebezhető verziókat üzemeltető szervezeteknek frissíteniük kell a javított kiadásokra, beleértve a következőket:

• 20.9.1 előtti verziók: átállás javított kiadásra
• 20.9: frissítés 20.9.8.2-re
• 20.11.1: frissítés 20.12.6.1-re
• 20.12.5: frissítés 20.12.5.3-ra
• 20.12.6: frissítés 20.12.6.1-re
• 20.13.1, 20.14.1, 20.15: frissítés 20.15.4.2-re
• 20.16.1 és 20.18: frissítés 20.18.2.1-re

A javítások telepítése mellett a szervezeteknek forenzikus validációt is kell végezniük. Az ajánlott intézkedések közé tartozik a /var/log/auth.log fájl áttekintése az ismeretlen IP-címekről származó „Elfogadott nyilvános kulcs a vmanage-admin számára” bejegyzésekre hivatkozó bejegyzések után. Minden gyanús IP-címet össze kell vetni a Cisco Catalyst SD-WAN Manager webes felhasználói felületén az Eszközök > Rendszer IP-cím menüpont alatt felsorolt konfigurált rendszer IP-címekkel.

A potenciális visszalépési vagy váratlan újraindítási események észleléséhez a következő naplófájlokat kell elemezni:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_syncdb.log fájl

Szövetségi megbízások és szabályozási válaszok

A megerősített kihasználásra válaszul a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) mind a CVE-2026-20127, mind a CVE-2022-20775 sebezhetőségeket felvette az Ismert Kihasznált Sebezhetőségek (KEV) katalógusába. A szövetségi polgári végrehajtó hatalmi ág ügynökségeinek 24 órán belül el kell távolítaniuk ezeket a sebezhetőségeket.

A CISA kiadta a 26-03-as számú sürgősségi irányelvet is, melynek címe „A Cisco SD-WAN rendszerek sebezhetőségeinek enyhítése”. Az irányelv felhatalmazza a szövetségi ügynökségeket, hogy leltározzák az összes hatókörbe tartozó SD-WAN eszközt, telepítsenek biztonsági frissítéseket, és értékeljék a kompromittálódásra utaló jeleket.

A megfelelési határidők megkövetelik a hivataloktól, hogy:

• Küldje el az összes, a hatókörbe tartozó SD-WAN rendszer katalógusát 2026. február 26-án, 23:59-ig (ET).
• Kérjük, 2026. március 5-én, 23:59-ig (ET) adja meg az érintett termékek részletes listáját és a korrekciós intézkedéseket.
• Jelentsd az összes környezeti szigorítási intézkedést 2026. március 26-án, 23:59-ig (ET).

Ezek a fejlemények rávilágítanak a proaktív javításkezelés, a folyamatos monitorozás és a hálózati pereminfrastruktúra védekező megerősítésének sürgető szükségességére az SD-WAN környezeteket célzó fejlett, állandó fenyegetések mérséklése érdekében.