SD-WAN CVE-2026-20127 pažeidžiamumas
„Cisco Systems Cisco Catalyst SD-WAN Controller“ ir „Cisco Catalyst SD-WAN Manager“ įrenginiuose nustatyta itin pavojinga pažeidžiamumas, pažymėtas CVE-2026-20127 (CVSS įvertinimas: 10,0). Šis trūkumas leidžia neautentifikuotam nuotoliniam užpuolikui apeiti autentifikavimo valdiklius ir gauti administratoriaus prieigą, siunčiant specialiai sukurtą užklausą pažeidžiamai sistemai.
Problema kyla dėl tarpusavio autentifikavimo mechanizmo gedimo, leidžiančio užpuolikui prisijungti kaip vidiniam, didelių privilegijų neturinčiam ne root vartotojui. Turėdami šį prieigos lygį, užpuolikai gali sąveikauti su NETCONF paslaugomis ir manipuliuoti SD-WAN tinklo konfigūracijomis, taip pažeisdami įmonės tinklų vientisumą ir prieinamumą.
Turinys
Paveikti diegimo modeliai
Pažeidžiamumas paveikia kelis diegimo modelius, nepriklausomai nuo konfigūracijos:
- Vietiniai diegimai
- „Cisco“ talpinamas SD-WAN debesis
- „Cisco Hosted SD-WAN Cloud“ – valdomas „Cisco“
- „Cisco Hosted SD-WAN Cloud“ – „FedRAMP“ aplinka
Sistemoms, veikiančioms viešajame internete, ypač toms, kurios turi atvirus prievadus, kyla žymiai didesnė kompromitavimo rizika.
Aktyvus išnaudojimas ir grėsmės teikėjų veikla
Saugumo tyrėjai patvirtino aktyvų pažeidžiamumo išnaudojimą, vykstantį nuo 2023 m. Kampanija sekama pagal UAT-8616 žymėjimą, kuris vertinamas kaip itin pažangi grėsmių grupė. Įrodymai rodo, kad grupė pasinaudojo šia nulinės dienos pažeidžiamumu, kad įsiskverbtų į „Cisco SD-WAN“ aplinkas ir gautų nuolatinę aukštesnę prieigą.
Atakos metodologija apima kenkėjiško mazgo, prisijungiančio prie SD-WAN valdymo arba kontrolės plokštumos, sukūrimą. Šis kenkėjiškas įrenginys atrodo kaip teisėtas, bet laikinas SD-WAN komponentas, leidžiantis užtikrinti patikimą sąveiką valdymo infrastruktūroje.
Po pirminio interneto programos užpuolimo užpuolikai pasinaudojo integruotu atnaujinimo mechanizmu, kad atnaujintų programinės įrangos versijas. Šis atnaujinimas leidžia išnaudoti CVE-2022-20775 (CVSS balas: 7,8) – didelio masto privilegijų eskalavimo trūkumą „Cisco SD-WAN“ programinės įrangos komandų sąsajoje. Gavę root teises, užpuolikai atkuria sistemos pradinę programinės įrangos versiją, kad sumažintų aptikimo riziką.
Su UAT-8616 susiję veiksmai po kompromitacijos apima:
- Vietinių vartotojų paskyrų, sukurtų taip, kad jos primintų teisėtas paskyras, kūrimas
- SSH autorizuotų raktų, skirtų root prieigai, įterpimas ir SD-WAN paleidimo scenarijų modifikavimas
- NETCONF naudojimas per 830 prievadą ir SSH šoniniam judėjimui valdymo plokštumoje
- Žurnalų klastojimas, įskaitant failų, esančių /var/log, ištrynimą, komandų istoriją ir tinklo ryšio įrašus
Ši veikla atspindi platesnę tendenciją, kai sudėtingi veikėjai, siekdami įtvirtinti tvirtas pozicijas didelės vertės aplinkoje, įskaitant ypatingos svarbos infrastruktūros sektorius, taikosi į tinklo periferinę infrastruktūrą.
Pataisų ir taisymo gairės
„Cisco“ išleido pataisymus kelioms programinės įrangos versijoms. Organizacijos, naudojančios pažeidžiamas versijas, privalo atnaujinti programas į pataisytus leidimus, įskaitant:
- Versijos, senesnės nei 20.9.1: perkėlimas į pataisytą versiją
- 20.9: atnaujinimas į 20.9.8.2
- 20.11.1: atnaujinimas į 20.12.6.1
- 20.12.5: atnaujinimas į 20.12.5.3
- 20.12.6: atnaujinimas į 20.12.6.1
- 20.13.1, 20.14.1, 20.15: atnaujinimas į 20.15.4.2
- 20.16.1 ir 20.18: atnaujinimas į 20.18.2.1
Be pataisų diegimo, organizacijos turėtų atlikti teismo ekspertizės patvirtinimą. Rekomenduojami veiksmai apima failo /var/log/auth.log peržiūrą, ar nėra įrašų, kuriuose nurodoma „Priimtas viešasis raktas vmanage-admin“, kilusių iš nežinomų IP adresų. Visus įtartinus IP adresus reikėtų palyginti su sukonfigūruotais sistemos IP adresais, išvardytais „Cisco Catalyst SD-WAN Manager“ žiniatinklio sąsajoje, skiltyje Įrenginiai > Sistemos IP.
Norint aptikti galimus senesnės versijos atnaujinimus arba netikėtus perkrovimus, reikėtų analizuoti šiuos žurnalų failus:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_syncdb.log
Federaliniai įgaliojimai ir reguliavimo institucijų atsakas
Reaguodama į patvirtintą pažeidžiamumo išnaudojimą, Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) įtraukė CVE-2026-20127 ir CVE-2022-20775 į savo žinomų išnaudotų pažeidžiamumų (KEV) katalogą. Federalinės civilinės vykdomosios valdžios agentūros privalo pašalinti šiuos pažeidžiamumus per 24 valandas.
CISA taip pat išleido 26-03 skubios pagalbos direktyvą pavadinimu „Cisco SD-WAN sistemų pažeidžiamumų mažinimas“. Šia direktyva federalinės agentūros įpareigojamos inventorizuoti visus į taikymo sritį patenkančius SD-WAN išteklius, įdiegti saugos naujinimus ir įvertinti pažeidimo požymius.
Atitikties terminai reikalauja, kad agentūros:
- Pateikite visų į taikymo sritį patenkančių SD-WAN sistemų katalogą iki 2026 m. vasario 26 d., 23:59 ET.
- Pateikite išsamų paveiktų produktų ir taisomųjų veiksmų sąrašą iki 2026 m. kovo 5 d., 23:59 ET.
- Pranešti apie visas aplinkos apsaugos priemones iki 2026 m. kovo 26 d., 23:59 ET.
Šie pokyčiai pabrėžia neatidėliotiną poreikį aktyviai valdyti pataisas, nuolat stebėti ir stiprinti tinklo periferijos infrastruktūrą, siekiant sušvelninti pažangias nuolatines grėsmes, nukreiptas į SD-WAN aplinkas.
