Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Vulnerabilidade Vulnerabilidade SD-WAN CVE-2026-20127

Vulnerabilidade SD-WAN CVE-2026-20127

Por Mezo em Vulnerabilidade
Traduzir Para:

Uma vulnerabilidade de gravidade máxima, rastreada como CVE-2026-20127 (pontuação CVSS: 10,0), foi identificada no Cisco Catalyst SD-WAN Controller e no Cisco Catalyst SD-WAN Manager da Cisco Systems. A falha permite que um invasor remoto não autenticado ignore os controles de autenticação e obtenha acesso administrativo enviando uma solicitação especialmente criada para um sistema vulnerável.

O problema decorre de uma falha no mecanismo de autenticação de peering, permitindo que um adversário faça login como um usuário interno com altos privilégios, mas sem privilégios de root. Com esse nível de acesso, os atacantes podem interagir com os serviços NETCONF e manipular as configurações da rede SD-WAN, comprometendo potencialmente a integridade e a disponibilidade das redes corporativas.

Modelos de Implantação Afetados

A vulnerabilidade afeta vários modelos de implantação, independentemente da configuração:

  • Implantações locais
  • Nuvem SD-WAN hospedada da Cisco
  • Nuvem SD-WAN hospedada pela Cisco – Gerenciada pela Cisco
  • Nuvem SD-WAN hospedada pela Cisco – Ambiente FedRAMP

Sistemas expostos à internet pública, especialmente aqueles com portas abertas, enfrentam um risco significativamente maior de serem comprometidos.

Exploração ativa e atividade de agentes de ameaça

Pesquisadores de segurança confirmaram a exploração ativa da vulnerabilidade desde 2023. A campanha está sendo rastreada sob a designação UAT-8616, classificada como um cluster de ameaças altamente avançado. As evidências indicam que o grupo explorou essa vulnerabilidade zero-day para infiltrar ambientes Cisco SD-WAN e obter acesso privilegiado persistente.

A metodologia de ataque inclui a criação de um dispositivo não autorizado que se integra ao plano de gerenciamento ou controle da SD-WAN. Esse dispositivo malicioso se apresenta como um componente legítimo, porém temporário, da SD-WAN, permitindo interações confiáveis dentro da infraestrutura de gerenciamento.

Após a invasão inicial de um aplicativo exposto à internet, os atacantes exploraram o mecanismo de atualização integrado para fazer o downgrade do software. Esse downgrade facilita a exploração da vulnerabilidade CVE-2022-20775 (pontuação CVSS: 7,8), uma falha de escalonamento de privilégios de alta gravidade na CLI do software Cisco SD-WAN. Uma vez obtidos os privilégios de root, os atacantes restauram o sistema para a versão original do software a fim de minimizar a detecção.

As ações pós-comprometimento atribuídas ao UAT-8616 incluem:

  • Criação de contas de usuário locais projetadas para se assemelharem a contas legítimas.
  • Inserção de chaves SSH autorizadas para acesso root e modificação de scripts de inicialização SD-WAN.
  • Utilização do NETCONF na porta 830 e SSH para movimentação lateral dentro do plano de gerenciamento.
  • Adulteração de logs, incluindo exclusão de arquivos em /var/log, histórico de comandos e registros de conexão de rede.

Essa atividade reflete uma tendência mais ampla de agentes sofisticados que visam a infraestrutura de borda de rede para estabelecer posições duradouras em ambientes de alto valor, incluindo setores de infraestrutura crítica.

Orientações para Reparos e Correção

A Cisco lançou correções para diversas versões de software. Organizações que utilizam versões vulneráveis devem atualizar para as versões corrigidas, incluindo:

  • Versões anteriores à 20.9.1: migrar para uma versão corrigida.
  • 20.9: atualizar para 20.9.8.2
  • 20.11.1: atualizar para 20.12.6.1
  • 20.12.5: atualizar para 20.12.5.3
  • 20.12.6: atualizar para 20.12.6.1
  • 20.13.1, 20.14.1, 20.15: atualizar para 20.15.4.2
  • 20.16.1 e 20.18: atualize para 20.18.2.1

Além da aplicação de patches, as organizações devem realizar uma análise forense. As ações recomendadas incluem a revisão do arquivo /var/log/auth.log em busca de entradas que façam referência a 'Accepted publickey for vmanage-admin' originadas de endereços IP desconhecidos. Quaisquer IPs suspeitos devem ser comparados com os IPs do sistema configurados e listados na interface web do Cisco Catalyst SD-WAN Manager em Dispositivos > IP do sistema.

Para detectar possíveis eventos de downgrade ou reinicialização inesperada, os seguintes arquivos de log devem ser analisados:

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_synccdb.log

Mandatos Federais e Resposta Regulatória

Em resposta à confirmação da exploração dessas vulnerabilidades, a Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionou as vulnerabilidades CVE-2026-20127 e CVE-2022-20775 ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV). As agências do Poder Executivo Federal são obrigadas a corrigir essas vulnerabilidades em até 24 horas.

A CISA também emitiu a Diretiva de Emergência 26-03, intitulada "Mitigar Vulnerabilidades em Sistemas SD-WAN da Cisco". A diretiva exige que as agências federais inventariem todos os ativos SD-WAN abrangidos, apliquem atualizações de segurança e avaliem a presença de indicadores de comprometimento.

Os prazos de conformidade exigem que as agências:

  • Envie um catálogo de todos os sistemas SD-WAN abrangidos até 26 de fevereiro de 2026, às 23h59 (horário do leste dos EUA).
  • Forneça um inventário detalhado dos produtos afetados e das ações corretivas até 5 de março de 2026, às 23h59 (horário do leste dos EUA).
  • Informe todas as medidas de reforço ambiental até 26 de março de 2026, às 23h59 (horário do leste dos EUA).

Esses desenvolvimentos ressaltam a necessidade urgente de gerenciamento proativo de patches, monitoramento contínuo e reforço defensivo da infraestrutura de borda da rede para mitigar ameaças persistentes avançadas direcionadas a ambientes SD-WAN.

Tendendo

Mais visto

Carregando...