SD-WAN CVE-2026-20127 जोखिम

Cisco Systems Cisco Catalyst SD-WAN Controller र Cisco Catalyst SD-WAN Manager मा CVE-2026-20127 (CVSS स्कोर: १०.०) को रूपमा ट्र्याक गरिएको अधिकतम-गम्भीरता जोखिम पहिचान गरिएको छ। यो त्रुटिले एक अप्रमाणित रिमोट आक्रमणकारीलाई प्रमाणीकरण नियन्त्रणहरू बाइपास गर्न र एक कमजोर प्रणालीमा विशेष रूपमा तयार गरिएको अनुरोध पठाएर प्रशासनिक पहुँच प्राप्त गर्न सक्षम बनाउँछ।

यो समस्या पियरिङ प्रमाणीकरण संयन्त्रमा विफलताबाट उत्पन्न हुन्छ, जसले गर्दा प्रतिद्वन्द्वीलाई आन्तरिक, उच्च-विशेषाधिकार प्राप्त गैर-रूट प्रयोगकर्ताको रूपमा लग इन गर्न अनुमति दिन्छ। पहुँचको यस स्तरको साथ, आक्रमणकारीहरूले NETCONF सेवाहरूसँग अन्तर्क्रिया गर्न सक्छन् र SD-WAN कपडा कन्फिगरेसनहरू हेरफेर गर्न सक्छन्, सम्भावित रूपमा इन्टरप्राइज नेटवर्कहरूको अखण्डता र उपलब्धतामा सम्झौता गर्न सक्छन्।

प्रभावित तैनाती मोडेलहरू

कन्फिगरेसनको पर्वाह नगरी, जोखिमले धेरै तैनाती मोडेलहरूलाई असर गर्छ:

• प्रिममा तैनाथीहरू
• सिस्कोले होस्ट गरेको SD-WAN क्लाउड
• सिस्कोले होस्ट गरेको SD-WAN क्लाउड - सिस्को व्यवस्थित
• सिस्कोले होस्ट गरेको SD-WAN क्लाउड - FedRAMP वातावरण

सार्वजनिक इन्टरनेटको सम्पर्कमा रहेका प्रणालीहरू, विशेष गरी खुला पोर्टहरू भएका प्रणालीहरूमा, सम्झौताको जोखिम उल्लेखनीय रूपमा बढ्छ।

सक्रिय शोषण र धम्की अभिनेता गतिविधि

सुरक्षा अनुसन्धानकर्ताहरूले २०२३ देखि सक्रिय शोषण भएको पुष्टि गरेका छन्। अभियानलाई UAT-8616 नामकरण अन्तर्गत ट्र्याक गरिएको छ, जुन अत्यधिक उन्नत खतरा क्लस्टरको रूपमा मूल्याङ्कन गरिएको छ। प्रमाणले संकेत गर्दछ कि समूहले सिस्को SD-WAN वातावरणमा घुसपैठ गर्न र निरन्तर उच्च पहुँच प्राप्त गर्न यो शून्य-दिनको जोखिमलाई प्रयोग गर्‍यो।

आक्रमण पद्धतिमा SD-WAN व्यवस्थापन वा नियन्त्रण विमानमा सामेल हुने दुष्ट साथीको सिर्जना समावेश छ। यो दुर्भावनापूर्ण उपकरण एक वैध तर अस्थायी SD-WAN घटकको रूपमा देखा पर्दछ, जसले व्यवस्थापन पूर्वाधार भित्र विश्वसनीय अन्तरक्रियाहरूलाई सक्षम बनाउँछ।

इन्टरनेट-फेसिंग एप्लिकेसनको प्रारम्भिक सम्झौता पछि, आक्रमणकारीहरूले सफ्टवेयर संस्करणहरू डाउनग्रेड गर्न निर्मित अपडेट संयन्त्रको शोषण गरेका छन्। यो डाउनग्रेडले CVE-2022-20775 (CVSS स्कोर: 7.8) को शोषणलाई सहज बनाउँछ, जुन सिस्को SD-WAN सफ्टवेयर CLI मा उच्च-गम्भीरता विशेषाधिकार वृद्धि त्रुटि हो। एक पटक रूट विशेषाधिकारहरू प्राप्त भएपछि, आक्रमणकारीहरूले पत्ता लगाउने क्षमता कम गर्न प्रणालीलाई यसको मूल सफ्टवेयर संस्करणमा पुनर्स्थापित गर्छन्।

UAT-8616 लाई श्रेय दिइएको सम्झौता पछिका कार्यहरू समावेश छन्:

• वैध खाताहरू जस्तै देखिने गरी डिजाइन गरिएको स्थानीय प्रयोगकर्ता खाताहरूको सिर्जना

यो गतिविधिले महत्वपूर्ण पूर्वाधार क्षेत्रहरू सहित उच्च-मूल्य वातावरणमा दिगो उपस्थिति स्थापित गर्न नेटवर्क एज पूर्वाधारलाई लक्षित गर्ने परिष्कृत अभिनेताहरूको फराकिलो प्रवृत्तिलाई प्रतिबिम्बित गर्दछ।

प्याचिङ र उपचार मार्गदर्शन

सिस्कोले धेरै सफ्टवेयर ट्रेनहरूमा समाधानहरू जारी गरेको छ। कमजोर संस्करणहरू सञ्चालन गर्ने संस्थाहरूले सुधारित रिलीजहरूमा स्तरोन्नति गर्नुपर्छ, जसमा समावेश छन्:

• २०.९.१ भन्दा पहिलेका संस्करणहरू: निश्चित रिलीजमा माइग्रेट गर्नुहोस्
• २०.९: २०.९.८.२ मा स्तरोन्नति गर्नुहोस्
• २०.११.१: २०.१२.६.१ मा स्तरोन्नति गर्नुहोस्
• २०.१२.५: २०.१२.५.३ मा स्तरोन्नति गर्नुहोस्
• २०.१२.६: २०.१२.६.१ मा स्तरोन्नति गर्नुहोस्
• २०.१३.१, २०.१४.१, २०.१५: २०.१५.४.२ मा स्तरोन्नति गर्नुहोस्
• २०.१६.१ र २०.१८: २०.१८.२.१ मा स्तरोन्नति गर्नुहोस्

प्याचिङको अतिरिक्त, संस्थाहरूले फोरेन्सिक प्रमाणीकरण सञ्चालन गर्नुपर्छ। सिफारिस गरिएका कार्यहरूमा अज्ञात IP ठेगानाहरूबाट उत्पन्न हुने 'vmanage-admin को लागि स्वीकृत पब्लिककी' सन्दर्भित प्रविष्टिहरूको लागि /var/log/auth.log फाइलको समीक्षा समावेश छ। कुनै पनि शंकास्पद IP हरूलाई Cisco Catalyst SD-WAN प्रबन्धक वेब UI मा उपकरणहरू > प्रणाली IP अन्तर्गत सूचीबद्ध कन्फिगर गरिएको प्रणाली IP हरूसँग क्रस-रेफरेन्स गर्नुपर्छ।

सम्भावित डाउनग्रेड वा अप्रत्याशित रिबुट घटनाहरू पत्ता लगाउन, निम्न लग फाइलहरूको विश्लेषण गरिनुपर्छ:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

संघीय आदेश र नियामक प्रतिक्रिया

पुष्टि भएको शोषणको प्रतिक्रियामा, साइबरसुरक्षा र पूर्वाधार सुरक्षा एजेन्सी (CISA) ले CVE-2026-20127 र CVE-2022-20775 दुवैलाई आफ्नो ज्ञात शोषित जोखिमहरू (KEV) सूचीमा थप्यो। संघीय नागरिक कार्यकारी शाखा एजेन्सीहरूले २४ घण्टा भित्र यी जोखिमहरूलाई सुधार गर्न आवश्यक छ।

CISA ले 'सिस्को SD-WAN प्रणालीहरूमा जोखिम न्यूनीकरण' शीर्षकको आपतकालीन निर्देशन २६-०३ पनि जारी गरेको छ। यो निर्देशनले संघीय एजेन्सीहरूलाई सबै इन-स्कोप SD-WAN सम्पत्तिहरूको सूची बनाउन, सुरक्षा अद्यावधिकहरू लागू गर्न र सम्झौताका सूचकहरूको मूल्याङ्कन गर्न आदेश दिन्छ।

अनुपालनको समयसीमाले एजेन्सीहरूलाई निम्न कुराहरू गर्न आवश्यक छ:

• फेब्रुअरी २६, २०२६, ११:५९ बजे ET सम्ममा सबै इन-स्कोप SD-WAN प्रणालीहरूको क्याटलग बुझाउनुहोस्।
• प्रभावित उत्पादनहरू र उपचार कार्यहरूको विस्तृत सूची मार्च ५, २०२६, ११:५९ बजे ET सम्ममा प्रदान गर्नुहोस्।
• मार्च २६, २०२६, ११:५९ बजे ET सम्ममा सबै वातावरणीय कडाइका उपायहरू रिपोर्ट गर्नुहोस्।

यी विकासहरूले SD-WAN वातावरणलाई लक्षित गर्ने उन्नत निरन्तर खतराहरूलाई कम गर्न नेटवर्क एज पूर्वाधारको सक्रिय प्याच व्यवस्थापन, निरन्तर अनुगमन र रक्षात्मक कडापनको तत्काल आवश्यकतालाई जोड दिन्छ।