Vulnerabilitate SD-WAN CVE-2026-20127
O vulnerabilitate de severitate maximă, înregistrată ca CVE-2026-20127 (scor CVSS: 10.0), a fost identificată în Cisco Systems Cisco Catalyst SD-WAN Controller și Cisco Catalyst SD-WAN Manager. Defectul permite unui atacator neautentificat la distanță să ocolească controalele de autentificare și să obțină acces administrativ prin trimiterea unei cereri special concepute către un sistem vulnerabil.
Problema provine dintr-o eroare a mecanismului de autentificare prin peering, care permite unui adversar să se conecteze ca utilizator intern, non-root, cu privilegii ridicate. Cu acest nivel de acces, atacatorii pot interacționa cu serviciile NETCONF și pot manipula configurațiile structurii SD-WAN, compromițând potențial integritatea și disponibilitatea rețelelor întreprinderilor.
Cuprins
Modele de implementare afectate
Vulnerabilitatea afectează mai multe modele de implementare, indiferent de configurație:
- Implementări locale
- Cloud SD-WAN găzduit de Cisco
- Cloud SD-WAN găzduit de Cisco – Gestionat de Cisco
- Cloud SD-WAN găzduit de Cisco – Mediu FedRAMP
Sistemele expuse la internetul public, în special cele cu porturi deschise, se confruntă cu un risc semnificativ crescut de compromitere.
Exploatare activă și activitate a actorilor amenințători
Cercetătorii în domeniul securității au confirmat o exploatare activă care datează din 2023. Campania este urmărită sub denumirea UAT-8616, evaluată ca un cluster de amenințări extrem de avansat. Dovezile indică faptul că grupul a valorificat această vulnerabilitate zero-day pentru a se infiltra în mediile Cisco SD-WAN și a obține acces privilegiat persistent.
Metodologia de atac include crearea unui peer necinstit care se alătură planului de management sau control SD-WAN. Acest dispozitiv rău intenționat apare ca o componentă SD-WAN legitimă, dar temporară, permițând interacțiuni de încredere în cadrul infrastructurii de management.
În urma compromiterii inițiale a unei aplicații conectate la internet, atacatorii au exploatat mecanismul de actualizare încorporat pentru a face downgrade la versiuni software. Acest downgrade facilitează exploatarea erorii CVE-2022-20775 (scor CVSS: 7,8), o eroare de escaladare a privilegiilor de gravitate ridicată în interfața CLI a software-ului Cisco SD-WAN. Odată ce privilegiile de root sunt obținute, atacatorii restaurează sistemul la versiunea software originală pentru a minimiza detectarea.
Acțiunile post-compromis atribuite UAT-8616 includ:
- Crearea de conturi de utilizator locale concepute să semene cu conturi legitime
- Introducerea cheilor autorizate SSH pentru acces root și modificarea scripturilor de pornire SD-WAN
- Utilizarea NETCONF prin portul 830 și SSH pentru mișcarea laterală în planul de gestionare
- Manipularea jurnalelor, inclusiv ștergerea fișierelor din /var/log, istoricul comenzilor și înregistrările conexiunilor de rețea
Această activitate reflectă o tendință mai largă a actorilor sofisticați care vizează infrastructura de la marginea rețelei pentru a se stabili în medii cu valoare ridicată, inclusiv în sectoare de infrastructură critică.
Ghid pentru aplicarea de patch-uri și remediere
Cisco a lansat remedieri pentru mai multe trenuri de software. Organizațiile care operează versiuni vulnerabile trebuie să facă upgrade la versiuni remediate, inclusiv:
- Versiuni anterioare versiunii 20.9.1: migrare către o versiune fixă
- 20.9: actualizare la 20.9.8.2
- 20.11.1: actualizare la 20.12.6.1
- 20.12.5: actualizare la 20.12.5.3
- 20.12.6: actualizare la 20.12.6.1
- 20.13.1, 20.14.1, 20.15: actualizare la 20.15.4.2
- 20.16.1 și 20.18: actualizare la 20.18.2.1
Pe lângă aplicarea de patch-uri, organizațiile ar trebui să efectueze validare criminalistică. Acțiunile recomandate includ revizuirea fișierului /var/log/auth.log pentru intrări care fac referire la „Accepted publickey for vmanage-admin” provenind de la adrese IP necunoscute. Orice IP-uri suspecte ar trebui comparate cu IP-urile de sistem configurate, listate în interfața web Cisco Catalyst SD-WAN Manager, la secțiunea Devices > System IP.
Pentru a detecta potențiale evenimente de downgrade sau repornire neașteptată, trebuie analizate următoarele fișiere jurnal:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
Mandatele federale și răspunsul de reglementare
Ca răspuns la exploatarea confirmată, Agenția pentru Securitatea Cibernetică și Infrastructură (CISA) a adăugat atât CVE-2026-20127, cât și CVE-2022-20775 în catalogul său de vulnerabilități exploatate cunoscute (KEV). Agențiile ramurii executive civile federale sunt obligate să remedieze aceste vulnerabilități în termen de 24 de ore.
CISA a emis, de asemenea, Directiva de urgență 26-03, intitulată „Atenuarea vulnerabilităților în sistemele Cisco SD-WAN”. Directiva impune agențiilor federale să inventarieze toate activele SD-WAN incluse în domeniul de aplicare, să aplice actualizări de securitate și să evalueze indicatorii de compromitere.
Termenele limită de conformitate impun agențiilor:
- Trimiteți un catalog cu toate sistemele SD-WAN incluse în proiect până la data de 26 februarie 2026, ora 23:59 ET.
- Furnizați un inventar detaliat al produselor afectate și al acțiunilor de remediere până la 5 martie 2026, ora 23:59 ET.
- Raportați toate măsurile de întărire a mediului până pe 26 martie 2026, ora 23:59 ET.
Aceste evoluții subliniază nevoia urgentă de gestionare proactivă a patch-urilor, monitorizare continuă și consolidare defensivă a infrastructurii de la marginea rețelei pentru a atenua amenințările persistente avansate care vizează mediile SD-WAN.
