Kerentanan SD-WAN CVE-2026-20127

Kerentanan tahap maksimum, yang dikesan sebagai CVE-2026-20127 (skor CVSS: 10.0), telah dikenal pasti dalam Cisco Systems Cisco Catalyst SD-WAN Controller dan Cisco Catalyst SD-WAN Manager. Kerentanan ini membolehkan penyerang jauh yang tidak disahkan memintas kawalan pengesahan dan mendapatkan akses pentadbiran dengan menghantar permintaan yang direka khas kepada sistem yang terdedah.

Isu ini berpunca daripada kegagalan dalam mekanisme pengesahan peering, yang membolehkan musuh log masuk sebagai pengguna bukan root dalaman yang berkelayakan tinggi. Dengan tahap akses ini, penyerang boleh berinteraksi dengan perkhidmatan NETCONF dan memanipulasi konfigurasi fabrik SD-WAN, yang berpotensi menjejaskan integriti dan ketersediaan rangkaian perusahaan.

Model Pelaksanaan yang Terjejas

Kerentanan ini memberi kesan kepada pelbagai model pelaksanaan, tanpa mengira konfigurasi:

• Pelaksanaan di premis
• Awan SD-WAN Berhos Cisco
• Awan SD-WAN Berhos Cisco – Cisco Managed
• Awan SD-WAN Dihoskan Cisco – Persekitaran FedRAMP

Sistem yang terdedah kepada internet awam, terutamanya yang mempunyai port terbuka, menghadapi risiko kompromi yang jauh lebih tinggi.

Aktiviti Eksploitasi Aktif dan Aktor Ancaman

Penyelidik keselamatan telah mengesahkan eksploitasi aktif sejak tahun 2023. Kempen ini sedang dijejaki di bawah gelaran UAT-8616, yang dinilai sebagai kluster ancaman yang sangat maju. Bukti menunjukkan bahawa kumpulan itu memanfaatkan kerentanan sifar hari ini untuk menyusup masuk ke persekitaran Cisco SD-WAN dan mendapatkan akses tinggi yang berterusan.

Metodologi serangan merangkumi penciptaan rakan sebaya penyangak yang menyertai pengurusan atau satah kawalan SD-WAN. Peranti berniat jahat ini muncul sebagai komponen SD-WAN yang sah tetapi sementara, yang membolehkan interaksi yang dipercayai dalam infrastruktur pengurusan.

Berikutan pencerobohan awal aplikasi yang menghadap internet, penyerang telah mengeksploitasi mekanisme kemas kini terbina dalam untuk menurunkan taraf versi perisian. Penurunan taraf ini memudahkan eksploitasi CVE-2022-20775 (skor CVSS: 7.8), kecacatan peningkatan keistimewaan tahap keterukan tinggi dalam Cisco SD-WAN Software CLI. Sebaik sahaja keistimewaan root diperoleh, penyerang akan memulihkan sistem kepada versi perisian asalnya untuk meminimumkan pengesanan.

Tindakan pasca-kompromi yang dikaitkan dengan UAT-8616 termasuk:

• Penciptaan akaun pengguna setempat yang direka bentuk untuk menyerupai akaun yang sah
• Pemasukan kunci yang dibenarkan oleh SSH untuk akses root dan pengubahsuaian skrip permulaan SD-WAN

• Penggunaan NETCONF melalui port 830 dan SSH untuk pergerakan lateral dalam satah pengurusan

• Pengubahan log, termasuk pemadaman fail di bawah /var/log, sejarah arahan dan rekod sambungan rangkaian

Aktiviti ini mencerminkan trend yang lebih luas bagi pelaku sofistikated yang menyasarkan infrastruktur pinggir rangkaian untuk mewujudkan kedudukan yang tahan lama dalam persekitaran bernilai tinggi, termasuk sektor infrastruktur kritikal.

Panduan Penampalan dan Pemulihan

Cisco telah mengeluarkan pembetulan merentasi pelbagai rangkaian perisian. Organisasi yang mengendalikan versi terdedah mesti menaik taraf kepada keluaran yang dipulihkan, termasuk:

• Versi sebelum 20.9.1: berhijrah ke keluaran tetap
• 20.9: naik taraf kepada 20.9.8.2
• 20.11.1: naik taraf kepada 20.12.6.1
• 20.12.5: naik taraf kepada 20.12.5.3
• 20.12.6: naik taraf kepada 20.12.6.1
• 20.13.1, 20.14.1, 20.15: naik taraf kepada 20.15.4.2
• 20.16.1 dan 20.18: naik taraf kepada 20.18.2.1

Selain menampal, organisasi harus menjalankan pengesahan forensik. Tindakan yang disyorkan termasuk menyemak fail /var/log/auth.log untuk entri yang merujuk kepada 'Publiquekey yang diterima untuk vmanage-admin' yang berasal dari alamat IP yang tidak diketahui. Sebarang IP yang mencurigakan harus dirujuk silang dengan IP Sistem yang dikonfigurasikan yang disenaraikan dalam UI Web Pengurus SD-WAN Cisco Catalyst di bawah Peranti > IP Sistem.

Untuk mengesan potensi penurunan taraf atau peristiwa but semula yang tidak dijangka, fail log berikut harus dianalisis:

• /var/volatil/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Mandat Persekutuan dan Respons Kawal Selia

Sebagai tindak balas kepada eksploitasi yang disahkan, Agensi Keselamatan Siber dan Infrastruktur (CISA) telah menambah kedua-dua CVE-2026-20127 dan CVE-2022-20775 kepada katalog Kerentanan Eksploitasi yang Diketahui (KEV). Agensi Cawangan Eksekutif Awam Persekutuan dikehendaki untuk memperbaiki kelemahan ini dalam tempoh 24 jam.

CISA juga telah mengeluarkan Arahan Kecemasan 26-03, bertajuk 'Kurangkan Kerentanan dalam Sistem SD-WAN Cisco.' Arahan ini mewajibkan agensi persekutuan untuk menginventori semua aset SD-WAN dalam skop, menggunakan kemas kini keselamatan dan menilai petunjuk pencerobohan.

Tarikh akhir pematuhan memerlukan agensi untuk:

• Hantar katalog semua sistem SD-WAN dalam skop sebelum 26 Februari 2026, 11:59 malam ET.
• Berikan inventori terperinci produk yang terjejas dan tindakan pemulihan sebelum 5 Mac 2026, 11:59 malam ET.
• Laporkan semua langkah pengerasan alam sekitar sebelum 26 Mac 2026, 11:59 malam ET.

Perkembangan ini menggariskan keperluan mendesak untuk pengurusan tampalan proaktif, pemantauan berterusan dan pengerasan pertahanan infrastruktur pinggir rangkaian untuk mengurangkan ancaman berterusan lanjutan yang menyasarkan persekitaran SD-WAN.