SD-WAN CVE-2026-20127 ievainojamība

Cisco Systems Cisco Catalyst SD-WAN Controller un Cisco Catalyst SD-WAN Manager ir identificēta maksimāli bīstama ievainojamība ar numuru CVE-2026-20127 (CVSS vērtējums: 10,0). Šī nepilnība ļauj neautentificētam attālinātam uzbrucējam apiet autentifikācijas vadīklas un iegūt administratora piekļuvi, nosūtot īpaši izveidotu pieprasījumu uz neaizsargātu sistēmu.

Problēma rodas no kļūmes līdzinieka autentifikācijas mehānismā, kas ļauj pretiniekam pieteikties kā iekšējam lietotājam ar augstām privilēģijām, kas nav root lietotājs. Ar šādu piekļuves līmeni uzbrucēji var mijiedarboties ar NETCONF pakalpojumiem un manipulēt ar SD-WAN tīkla konfigurācijām, potenciāli apdraudot uzņēmuma tīklu integritāti un pieejamību.

Ietekmētie izvietošanas modeļi

Šī ievainojamība ietekmē vairākus izvietošanas modeļus neatkarīgi no konfigurācijas:

• Lokālie izvietojumi
• Cisco mitinātais SD-WAN mākonis
• Cisco Hosted SD-WAN mākonis — Cisco pārvaldīts
• Cisco Hosted SD-WAN mākonis — FedRAMP vide

Sistēmām, kas ir pieejamas publiskajam internetam, īpaši tām, kurām ir atvērtas pieslēgvietas, ir ievērojami paaugstināts kompromitēšanas risks.

Aktīva ekspluatācija un draudu izvirzītāja aktivitāte

Drošības pētnieki ir apstiprinājuši aktīvu ievainojamību izmantošanu, kas datēta ar 2023. gadu. Kampaņa tiek izsekota ar apzīmējumu UAT-8616, kas novērtēta kā ļoti progresīva apdraudējumu klastera. Pierādījumi liecina, ka grupa izmantoja šo nulles dienas ievainojamību, lai iefiltrētos Cisco SD-WAN vidēs un iegūtu pastāvīgu paaugstinātu piekļuvi.

Uzbrukuma metodoloģija ietver negodīga līdzinieka izveidi, kas pievienojas SD-WAN pārvaldības vai vadības plaknei. Šī ļaunprātīgā ierīce parādās kā likumīgs, bet īslaicīgs SD-WAN komponents, nodrošinot uzticamu mijiedarbību pārvaldības infrastruktūrā.

Pēc sākotnējas internetam pieslēdzamas lietojumprogrammas kompromitēšanas uzbrucēji ir izmantojuši iebūvēto atjaunināšanas mehānismu, lai pazeminātu programmatūras versijas. Šī pazemināšana atvieglo CVE-2022-20775 (CVSS vērtējums: 7,8) izmantošanu, kas ir ļoti nopietna privilēģiju eskalācijas kļūda Cisco SD-WAN programmatūras komandrindas saskarnē. Kad ir iegūtas root privilēģijas, uzbrucēji atjauno sistēmu tās sākotnējā programmatūras versijā, lai samazinātu atklāšanas iespējas.

Ar UAT-8616 saistītās darbības pēc apdraudējuma ietver:

• Lokālu lietotāju kontu izveide, kas veidoti tā, lai tie atgādinātu likumīgus kontus
• SSH autorizētu atslēgu ievietošana root piekļuvei un SD-WAN startēšanas skriptu modificēšanai

• NETCONF izmantošana 830. portā un SSH sānu pārvietošanai pārvaldības plaknē

• Žurnāla manipulācijas, tostarp failu dzēšana mapē /var/log, komandu vēsture un tīkla savienojumu ieraksti

Šī aktivitāte atspoguļo plašāku tendenci, kad sarežģīti dalībnieki mērķē uz tīkla perifērijas infrastruktūru, lai nostiprinātu ilgtspējīgas pozīcijas augstas vērtības vidēs, tostarp kritiskās infrastruktūras sektoros.

Ielāpošanas un labošanas vadlīnijas

Cisco ir izlaidis labojumus vairākās programmatūras versijās. Organizācijām, kas izmanto neaizsargātas versijas, ir jāveic jaunināšana uz labotajām versijām, tostarp:

• Versijas, kas ir vecākas par 20.9.1: migrēt uz fiksētu laidienu
• 20.9: jauninājums uz 20.9.8.2
• 20.11.1: jauninājums uz 20.12.6.1
• 20.12.5: jauninājums uz 20.12.5.3
• 20.12.6: jauninājums uz 20.12.6.1
• 20.13.1, 20.14.1, 20.15: jaunināšana uz 20.15.4.2
• 20.16.1 un 20.18: jauninājums uz 20.18.2.1

Papildus ielāpu ieviešanai organizācijām jāveic kriminālistiskā validācija. Ieteicamās darbības ietver faila /var/log/auth.log pārskatīšanu, lai atrastu ierakstus, kas atsaucas uz “Accepted publickey for vmanage-admin”, kuru izcelsme ir nezināmās IP adresēs. Visas aizdomīgās IP adreses ir jāsalīdzina ar konfigurētajām sistēmas IP adresēm, kas norādītas Cisco Catalyst SD-WAN Manager tīmekļa lietotāja saskarnē sadaļā Ierīces > Sistēmas IP adrese.

Lai atklātu iespējamus pazemināšanas vai negaidītas atkārtotas palaišanas notikumus, jāanalizē šādi žurnālfaili:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_syncdb.log

Federālie mandāti un regulatīvā reakcija

Reaģējot uz apstiprinātu ievainojamību, Kiberdrošības un infrastruktūras drošības aģentūra (CISA) savam zināmo izmantoto ievainojamību (KEV) katalogam pievienoja gan CVE-2026-20127, gan CVE-2022-20775. Federālajām civilajām izpildvaras iestādēm ir jānovērš šīs ievainojamības 24 stundu laikā.

CISA ir izdevusi arī ārkārtas direktīvu 26-03 ar nosaukumu “Cisco SD-WAN sistēmu ievainojamību mazināšana”. Direktīva pilnvaro federālās aģentūras inventarizēt visus SD-WAN aktīvus, kas ietilpst tās darbības jomā, ieviest drošības atjauninājumus un novērtēt kompromitēšanas pazīmes.

Atbilstības termiņi paredz, ka aģentūrām ir jāveic šādas darbības:

• Iesniedziet visu aptverto SD-WAN sistēmu katalogu līdz 2026. gada 26. februārim plkst. 23:59 pēc ET laika.
• Sniedziet detalizētu skarto produktu un koriģējošo darbību sarakstu līdz 2026. gada 5. martam plkst. 23:59 pēc ET laika.
• Ziņojiet par visiem vides aizsardzības pasākumiem līdz 2026. gada 26. martam plkst. 23:59 pēc ET laika.

Šīs norises uzsver steidzamo nepieciešamību pēc proaktīvas ielāpu pārvaldības, nepārtrauktas uzraudzības un tīkla perifērijas infrastruktūras aizsardzības stiprināšanas, lai mazinātu progresīvus pastāvīgus draudus, kas vērsti pret SD-WAN vidēm.