Vulnerabilità SD-WAN CVE-2026-20127

Una vulnerabilità di massima gravità, identificata come CVE-2026-20127 (punteggio CVSS: 10,0), è stata identificata in Cisco Catalyst SD-WAN Controller e Cisco Catalyst SD-WAN Manager di Cisco Systems. La falla consente a un utente remoto non autenticato di aggirare i controlli di autenticazione e ottenere l'accesso amministrativo inviando una richiesta appositamente predisposta a un sistema vulnerabile.

Il problema deriva da un errore nel meccanismo di autenticazione peering, che consente a un aggressore di accedere come utente interno non root con privilegi elevati. Con questo livello di accesso, gli aggressori possono interagire con i servizi NETCONF e manipolare le configurazioni del fabric SD-WAN, compromettendo potenzialmente l'integrità e la disponibilità delle reti aziendali.

Modelli di distribuzione interessati

La vulnerabilità ha un impatto su più modelli di distribuzione, indipendentemente dalla configurazione:

• Distribuzioni on-premise
• Cloud SD-WAN ospitato da Cisco
• Cloud SD-WAN ospitato da Cisco – Gestito da Cisco
• Cisco Hosted SD-WAN Cloud – Ambiente FedRAMP

I sistemi esposti alla rete Internet pubblica, in particolare quelli con porte aperte, corrono un rischio significativamente più elevato di compromissione.

Sfruttamento attivo e attività degli attori della minaccia

I ricercatori di sicurezza hanno confermato uno sfruttamento attivo risalente al 2023. La campagna è stata tracciata con la designazione UAT-8616, valutata come un cluster di minacce altamente avanzato. Le prove indicano che il gruppo ha sfruttato questa vulnerabilità zero-day per infiltrarsi negli ambienti Cisco SD-WAN e ottenere un accesso elevato persistente.

La metodologia di attacco prevede la creazione di un peer non autorizzato che si unisce al piano di gestione o controllo SD-WAN. Questo dispositivo dannoso si presenta come un componente SD-WAN legittimo ma temporaneo, consentendo interazioni affidabili all'interno dell'infrastruttura di gestione.

Dopo la compromissione iniziale di un'applicazione connessa a Internet, gli aggressori hanno sfruttato il meccanismo di aggiornamento integrato per effettuare il downgrade delle versioni software. Questo downgrade facilita lo sfruttamento di CVE-2022-20775 (punteggio CVSS: 7,8), una falla di escalation dei privilegi di elevata gravità nella CLI del software Cisco SD-WAN. Una volta ottenuti i privilegi di root, gli aggressori ripristinano il sistema alla versione software originale per ridurre al minimo il rischio di rilevamento.

Le azioni successive al compromesso attribuite a UAT-8616 includono:

• Creazione di account utente locali progettati per assomigliare ad account legittimi
• Inserimento delle chiavi autorizzate SSH per l'accesso root e modifica degli script di avvio SD-WAN

• Utilizzo di NETCONF sulla porta 830 e SSH per lo spostamento laterale all'interno del piano di gestione

• Manomissione del registro, inclusa l'eliminazione dei file in /var/log, cronologia dei comandi e record di connessione di rete

Questa attività riflette una tendenza più ampia di attori sofisticati che prendono di mira le infrastrutture edge della rete per stabilire punti d'appoggio durevoli in ambienti di alto valore, compresi i settori delle infrastrutture critiche.

Guida all’applicazione di patch e alla correzione

Cisco ha rilasciato correzioni per diversi pacchetti software. Le organizzazioni che utilizzano versioni vulnerabili devono eseguire l'aggiornamento alle versioni corrette, tra cui:

• Versioni precedenti alla 20.9.1: migrare a una versione corretta
• 20.9: aggiornamento a 20.9.8.2
• 20.11.1: aggiornamento a 20.12.6.1
• 20.12.5: aggiornamento a 20.12.5.3
• 20.12.6: aggiornamento a 20.12.6.1
• 20.13.1, 20.14.1, 20.15: aggiornamento a 20.15.4.2
• 20.16.1 e 20.18: aggiornamento a 20.18.2.1

Oltre all'applicazione delle patch, le organizzazioni dovrebbero condurre una convalida forense. Le azioni consigliate includono la revisione del file /var/log/auth.log per individuare voci che fanno riferimento a "Chiave pubblica accettata per vmanage-admin" provenienti da indirizzi IP sconosciuti. Eventuali IP sospetti devono essere confrontati con gli IP di sistema configurati elencati nell'interfaccia utente Web di Cisco Catalyst SD-WAN Manager in Dispositivi > IP di sistema.

Per rilevare potenziali downgrade o eventi di riavvio imprevisti, è necessario analizzare i seguenti file di registro:

• /var/volatile/log/vdebug
• /var/log/tmlog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Mandati federali e risposta normativa

In risposta allo sfruttamento confermato, la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto sia CVE-2026-20127 che CVE-2022-20775 al suo catalogo delle vulnerabilità note sfruttate (KEV). Le agenzie del ramo esecutivo civile federale sono tenute a porre rimedio a queste vulnerabilità entro 24 ore.

La CISA ha inoltre emanato la Direttiva di emergenza 26-03, intitolata "Mitigare le vulnerabilità nei sistemi Cisco SD-WAN". La direttiva impone alle agenzie federali di inventariare tutte le risorse SD-WAN interessate, applicare aggiornamenti di sicurezza e valutare gli indicatori di compromissione.

Le scadenze per la conformità impongono alle agenzie di:

• Inviare un catalogo di tutti i sistemi SD-WAN interessati entro il 26 febbraio 2026, alle 23:59 ET.
• Fornire un inventario dettagliato dei prodotti interessati e delle azioni correttive entro il 5 marzo 2026, alle 23:59 ET.
• Segnalare tutte le misure di rafforzamento ambientale entro il 26 marzo 2026, alle 23:59 ET.

Questi sviluppi sottolineano l'urgente necessità di una gestione proattiva delle patch, di un monitoraggio continuo e di un rafforzamento difensivo dell'infrastruttura edge della rete per mitigare le minacce persistenti avanzate che prendono di mira gli ambienti SD-WAN.