Rabatttilbud for flere lisenser
Trusseldatabase Sårbarhet SD-WAN CVE-2026-20127-sårbarhet

SD-WAN CVE-2026-20127-sårbarhet

Med Mezo i Sårbarhet
Oversett til:

Et sikkerhetsproblem med maksimal alvorlighetsgrad, sporet som CVE-2026-20127 (CVSS-poengsum: 10.0), er identifisert i Cisco Systems Cisco Catalyst SD-WAN Controller og Cisco Catalyst SD-WAN Manager. Feilen gjør det mulig for en uautorisert ekstern angriper å omgå autentiseringskontroller og få administrativ tilgang ved å sende en spesiallaget forespørsel til et sårbart system.

Problemet stammer fra en feil i peering-autentiseringsmekanismen, som tillater en motstander å logge på som en intern, høyprivilegert ikke-root-bruker. Med dette tilgangsnivået kan angripere samhandle med NETCONF-tjenester og manipulere SD-WAN-strukturkonfigurasjoner, noe som potensielt kan kompromittere integriteten og tilgjengeligheten til bedriftsnettverk.

Berørte distribusjonsmodeller

Sårbarheten påvirker flere distribusjonsmodeller, uavhengig av konfigurasjon:

  • Implementeringer på stedet
  • Cisco-hostet SD-WAN-sky
  • Cisco-hostet SD-WAN-sky – Cisco-administrert
  • Cisco Hosted SD-WAN Cloud – FedRAMP-miljø

Systemer som er eksponert for det offentlige internett, spesielt de med åpne porter, står overfor betydelig økt risiko for kompromittering.

Aktiv utnyttelse og trusselaktøraktivitet

Sikkerhetsforskere har bekreftet aktiv utnyttelse som går tilbake til 2023. Kampanjen spores under betegnelsen UAT-8616, vurdert som en svært avansert trusselklynge. Bevis tyder på at gruppen utnyttet denne nulldagssårbarheten til å infiltrere Cisco SD-WAN-miljøer og oppnå vedvarende utvidet tilgang.

Angrepsmetoden inkluderer opprettelsen av en useriøs peer som blir med i SD-WAN-administrasjons- eller kontrollplanet. Denne ondsinnede enheten fremstår som en legitim, men midlertidig SD-WAN-komponent, noe som muliggjør pålitelige samhandlinger innenfor administrasjonsinfrastrukturen.

Etter den første kompromitteringen av et internettrettet program, har angriperne utnyttet den innebygde oppdateringsmekanismen for å nedgradere programvareversjoner. Denne nedgraderingen legger til rette for utnyttelse av CVE-2022-20775 (CVSS-poengsum: 7,8), en alvorlig feil med eskalering av rettigheter i Cisco SD-WAN-programvarens CLI. Når rotrettigheter er oppnådd, gjenoppretter angriperne systemet til den opprinnelige programvareversjonen for å minimere deteksjon.

Handlinger etter kompromisser som tilskrives UAT-8616 inkluderer:

  • Opprettelse av lokale brukerkontoer som er utformet for å ligne legitime kontoer
  • Innsetting av SSH-autoriserte nøkler for root-tilgang og modifisering av SD-WAN-oppstartsskript
  • Bruk av NETCONF over port 830 og SSH for lateral bevegelse innenfor administrasjonsplanet
  • Loggmanipulering, inkludert sletting av filer under /var/log, kommandohistorikk og nettverkstilkoblingsoppføringer

Denne aktiviteten gjenspeiler en bredere trend med sofistikerte aktører som retter seg mot nettverksinfrastruktur i utkanten av nettverket for å etablere varige fotfeste i miljøer med høy verdi, inkludert kritiske infrastruktursektorer.

Veiledning for oppdatering og utbedring

Cisco har gitt ut rettelser på tvers av flere programvarepakker. Organisasjoner som driver sårbare versjoner må oppgradere til utbedret versjon, inkludert:

  • Versjoner før 20.9.1: migrer til en fast utgivelse
  • 20.9: oppgrader til 20.9.8.2
  • 20.11.1: oppgrader til 20.12.6.1
  • 20.12.5: oppgrader til 20.12.5.3
  • 20.12.6: oppgrader til 20.12.6.1
  • 20.13.1, 20.14.1, 20.15: oppgrader til 20.15.4.2
  • 20.16.1 og 20.18: oppgrader til 20.18.2.1

I tillegg til oppdateringer bør organisasjoner utføre rettsmedisinsk validering. Anbefalte tiltak inkluderer å gjennomgå /var/log/auth.log-filen for oppføringer som refererer til «Accepted publickey for vmanage-admin» som stammer fra ukjente IP-adresser. Eventuelle mistenkelige IP-adresser bør kryssrefereres med konfigurerte system-IP-adresser som er oppført i Cisco Catalyst SD-WAN Manager Web UI under Enheter > System-IP.

For å oppdage potensielle nedgraderinger eller uventede omstartshendelser, bør følgende loggfiler analyseres:

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_synccdb.log

Føderale mandater og regulatorisk respons

Som svar på bekreftet utnyttelse la Cybersecurity and Infrastructure Security Agency (CISA) til både CVE-2026-20127 og CVE-2022-20775 i sin katalog over kjente utnyttede sårbarheter (KEV). Føderale sivile utøvende grener er pålagt å utbedre disse sårbarhetene innen 24 timer.

CISA har også utstedt nøddirektiv 26-03, med tittelen «Reduser sårbarheter i Cisco SD-WAN-systemer». Direktivet pålegger føderale etater å inventarisere alle SD-WAN-ressurser som er omfattet av systemet, installere sikkerhetsoppdateringer og vurdere tegn på kompromittering.

Overholdelsesfrister krever at etatene:

  • Send inn en katalog over alle SD-WAN-systemer som er inkludert innen 26. februar 2026, kl. 23:59 ET.
  • Legg frem en detaljert oversikt over berørte produkter og utbedringstiltak innen 5. mars 2026, kl. 23:59 ET.
  • Rapporter alle miljøforbedrende tiltak innen 26. mars 2026, kl. 23:59 ET.

Denne utviklingen understreker det presserende behovet for proaktiv patchhåndtering, kontinuerlig overvåking og defensiv herding av nettverksinfrastruktur i kantene for å redusere avanserte, vedvarende trusler rettet mot SD-WAN-miljøer.

Trender

Medusa Ransomware-angrepskampanje

Advanced Persistent Threat (APT), løsepengeprogramvare
Den Nord-Korea-tilknyttede trusselaktøren kjent som Lazarus Group, også sporet som Diamond Sleet og Pompilus, har blitt observert mens den distribuerte Medusa-ransomware i et angrep mot en ikke navngitt organisasjon i Midtøsten. Sikkerhetsforskere identifiserte videre et mislykket inntrengningsforsøk fra de samme aktørene rettet mot en helseorganisasjon i USA. Medusa opererer under en...

Mest sett

Laster inn...