Luka w zabezpieczeniach SD-WAN CVE-2026-20127
W kontrolerze Cisco Catalyst SD-WAN i menedżerze Cisco Catalyst SD-WAN firmy Cisco Systems wykryto lukę o maksymalnym stopniu zagrożenia, oznaczoną kodem CVE-2026-20127 (punktacja CVSS: 10,0). Luka umożliwia nieuwierzytelnionemu zdalnemu atakującemu ominięcie mechanizmów uwierzytelniania i uzyskanie dostępu administracyjnego poprzez wysłanie specjalnie spreparowanego żądania do podatnego systemu.
Problem wynika z awarii mechanizmu uwierzytelniania peeringowego, która umożliwia atakującemu zalogowanie się jako wewnętrzny, wysokouprawniony użytkownik inny niż root. Dzięki temu poziomowi dostępu atakujący mogą wchodzić w interakcje z usługami NETCONF i manipulować konfiguracjami struktury SD-WAN, potencjalnie zagrażając integralności i dostępności sieci korporacyjnych.
Spis treści
Dotknięte modele wdrażania
Luka dotyczy wielu modeli wdrażania, niezależnie od konfiguracji:
- Wdrożenia lokalne
- Cisco hostowana chmura SD-WAN
- Cisco hostowana chmura SD-WAN – Cisco zarządzana
- Cisco hostowana chmura SD-WAN – środowisko FedRAMP
Systemy wystawione na działanie publicznego Internetu, zwłaszcza te z otwartymi portami, są narażone na znacznie większe ryzyko naruszenia bezpieczeństwa.
Aktywna eksploatacja i działalność podmiotów stanowiących zagrożenie
Analitycy bezpieczeństwa potwierdzili aktywną eksploatację od 2023 roku. Kampania jest śledzona pod oznaczeniem UAT-8616 i oceniana jako wysoce zaawansowany klaster zagrożeń. Dowody wskazują, że grupa wykorzystała tę lukę typu zero-day do infiltracji środowisk Cisco SD-WAN i uzyskania trwałego, podwyższonego dostępu.
Metodologia ataku obejmuje stworzenie złośliwego elementu, który dołącza do płaszczyzny zarządzania lub kontroli SD-WAN. To złośliwe urządzenie pojawia się jako legalny, ale tymczasowy komponent SD-WAN, umożliwiając zaufane interakcje w ramach infrastruktury zarządzania.
Po wstępnym włamaniu do aplikacji internetowej, atakujący wykorzystali wbudowany mechanizm aktualizacji do obniżenia wersji oprogramowania. To obniżenie wersji ułatwia wykorzystanie luki CVE-2022-20775 (wynik CVSS: 7,8), poważnej luki w interfejsie wiersza poleceń oprogramowania Cisco SD-WAN, umożliwiającej eskalację uprawnień. Po uzyskaniu uprawnień roota atakujący przywracają system do oryginalnej wersji oprogramowania, aby zminimalizować ryzyko wykrycia.
Działania podjęte po włamaniu przypisywane UAT-8616 obejmują:
- Tworzenie lokalnych kont użytkowników, które mają przypominać konta legalne
- Wprowadzanie autoryzowanych kluczy SSH w celu uzyskania dostępu do roota i modyfikacji skryptów startowych SD-WAN
- Wykorzystanie protokołu NETCONF na porcie 830 i SSH do przemieszczania się poziomego w obrębie płaszczyzny zarządzania
- Manipulowanie dziennikiem, w tym usuwanie plików w katalogu /var/log, historii poleceń i rekordów połączeń sieciowych
Działalność ta odzwierciedla szerszy trend wśród zaawansowanych podmiotów skupiających się na infrastrukturze brzegowej sieci w celu utworzenia trwałych przyczółków w środowiskach o dużej wartości, w tym w sektorach infrastruktury krytycznej.
Wskazówki dotyczące łatania i naprawy
Cisco udostępniło poprawki dla wielu pakietów oprogramowania. Organizacje korzystające z podatnych wersji muszą dokonać aktualizacji do wersji naprawionych, w tym:
- Wersje wcześniejsze niż 20.9.1: migracja do wersji stałej
- 20.9: aktualizacja do wersji 20.9.8.2
- 20.11.1: aktualizacja do wersji 20.12.6.1
- 20.12.5: aktualizacja do wersji 20.12.5.3
- 20.12.6: aktualizacja do wersji 20.12.6.1
- 20.13.1, 20.14.1, 20.15: aktualizacja do wersji 20.15.4.2
- 20.16.1 i 20.18: aktualizacja do wersji 20.18.2.1
Oprócz instalowania poprawek, organizacje powinny przeprowadzić walidację śledczą. Zalecane działania obejmują sprawdzenie pliku /var/log/auth.log pod kątem wpisów odnoszących się do „Zaakceptowanego klucza publicznego dla vmanage-admin” pochodzących z nieznanych adresów IP. Wszelkie podejrzane adresy IP należy porównać ze skonfigurowanymi adresami IP systemu wymienionymi w interfejsie internetowym Cisco Catalyst SD-WAN Manager w sekcji Urządzenia > Adres IP systemu.
Aby wykryć potencjalne zdarzenia związane z obniżeniem wersji lub nieoczekiwanym ponownym uruchomieniem, należy przeanalizować następujące pliki dziennika:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
Mandaty federalne i reakcja regulacyjna
W odpowiedzi na potwierdzone wykorzystanie luk, Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) dodała luki CVE-2026-20127 i CVE-2022-20775 do swojego katalogu znanych luk w zabezpieczeniach (KEV). Federalne agencje władzy wykonawczej są zobowiązane do usunięcia tych luk w ciągu 24 godzin.
CISA wydała również Dyrektywę Awaryjną 26-03 zatytułowaną „Ograniczanie luk w zabezpieczeniach systemów SD-WAN firmy Cisco”. Dyrektywa nakłada na agencje federalne obowiązek sporządzenia inwentaryzacji wszystkich objętych zakresem działania zasobów SD-WAN, wdrożenia aktualizacji zabezpieczeń i przeprowadzenia oceny pod kątem oznak zagrożenia.
Terminy zgodności nakładają na agencje obowiązek:
- Prześlij katalog wszystkich objętych zakresem systemów SD-WAN do 26 lutego 2026 r., godz. 23:59 czasu wschodniego.
- Do 5 marca 2026 r., godz. 23:59 czasu wschodniego, należy przedstawić szczegółowy wykaz produktów, których dotyczy problem, oraz działań naprawczych.
- Należy zgłosić wszystkie środki mające na celu wzmocnienie środowiska do 26 marca 2026 r., godz. 23:59 czasu wschodniego.
Zmiany te podkreślają pilną potrzebę proaktywnego zarządzania poprawkami, ciągłego monitorowania i wzmacniania infrastruktury brzegowej sieci w celu łagodzenia zaawansowanych, uporczywych zagrożeń atakujących środowiska SD-WAN.
