Уязвимость SD-WAN CVE-2026-20127

В контроллере Cisco Catalyst SD-WAN и менеджере Cisco Catalyst SD-WAN обнаружена уязвимость максимальной степени серьезности, зарегистрированная как CVE-2026-20127 (оценка CVSS: 10.0). Эта уязвимость позволяет неавторизованному удаленному злоумышленнику обойти средства аутентификации и получить административный доступ, отправив специально сформированный запрос в уязвимую систему.

Проблема связана со сбоем в механизме аутентификации при пиринге, позволяющим злоумышленнику войти в систему как внутренний пользователь с высокими привилегиями, не являющийся root-пользователем. С таким уровнем доступа злоумышленники могут взаимодействовать со службами NETCONF и манипулировать конфигурациями SD-WAN-сети, потенциально ставя под угрозу целостность и доступность корпоративных сетей.

Затронутые модели развертывания

Уязвимость затрагивает несколько моделей развертывания, независимо от конфигурации:

• Развертывание в локальной сети
• Облачное решение Cisco Hosted SD-WAN
• Облачное решение Cisco Hosted SD-WAN – управляемое решение Cisco.
• Облачное решение Cisco Hosted SD-WAN – среда FedRAMP

Системы, подключенные к общедоступному интернету, особенно те, у которых открыты порты, подвергаются значительно повышенному риску компрометации.

Активная эксплуатация и деятельность злоумышленников

Исследователи в области безопасности подтвердили активную эксплуатацию уязвимости, начиная с 2023 года. Кампания отслеживается под обозначением UAT-8616 и оценивается как высокоразвитая группа угроз. Имеющиеся данные указывают на то, что группа использовала эту уязвимость нулевого дня для проникновения в среды Cisco SD-WAN и получения постоянного доступа с повышенными привилегиями.

Методика атаки включает создание поддельного узла, который подключается к плоскости управления или контроля SD-WAN. Это вредоносное устройство имитирует легитимный, но временный компонент SD-WAN, обеспечивая доверенное взаимодействие внутри инфраструктуры управления.

После первоначального взлома приложения, доступного из интернета, злоумышленники использовали встроенный механизм обновления для понижения версий программного обеспечения. Это понижение версии облегчает эксплуатацию уязвимости CVE-2022-20775 (оценка CVSS: 7.8), представляющей собой серьезную уязвимость повышения привилегий в программном интерфейсе командной строки Cisco SD-WAN. Получив права root, злоумышленники восстанавливают систему до исходной версии программного обеспечения, чтобы минимизировать обнаружение.

Действия, предпринятые после взлома и связанные с уязвимостью UAT-8616, включают в себя:

• Создание локальных учетных записей пользователей, имитирующих учетные записи легитимных пользователей.
• Вставка авторизованных SSH-ключей для получения root-доступа и изменение скриптов запуска SD-WAN.

• Использование NETCONF через порт 830 и SSH для горизонтального перемещения внутри плоскости управления.

• Изменение логов, включая удаление файлов в каталоге /var/log, истории команд и записей о сетевых соединениях.

Эта активность отражает более широкую тенденцию, когда искушенные игроки нацеливаются на инфраструктуру периферии сети, чтобы закрепиться на рынке ценных активов, включая секторы критической инфраструктуры.

Руководство по установке и устранению неполадок

Компания Cisco выпустила исправления для нескольких версий программного обеспечения. Организациям, использующим уязвимые версии, необходимо обновиться до исправленных версий, включая:

• Версии до 20.9.1: перейдите на исправленную версию.
• 20.9: обновление до 20.9.8.2
• 20.11.1: обновление до 20.12.6.1
• 20.12.5: обновление до 20.12.5.3
• 20.12.6: обновление до 20.12.6.1
• 20.13.1, 20.14.1, 20.15: обновление до 20.15.4.2
• 20.16.1 и 20.18: обновление до 20.18.2.1

Помимо установки обновлений, организациям следует провести криминалистическую проверку. Рекомендуемые действия включают в себя анализ файла /var/log/auth.log на наличие записей, содержащих сообщение «Accepted publickey for vmanage-admin», исходящих с неизвестных IP-адресов. Любые подозрительные IP-адреса следует сопоставить с настроенными системными IP-адресами, указанными в веб-интерфейсе Cisco Catalyst SD-WAN Manager в разделе «Устройства» > «Системный IP».

Для выявления потенциальных случаев понижения версии или неожиданной перезагрузки следует проанализировать следующие файлы журналов:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Федеральные мандаты и меры реагирования в сфере регулирования

В ответ на подтвержденные случаи эксплуатации, Агентство по кибербезопасности и защите инфраструктуры (CISA) добавило CVE-2026-20127 и CVE-2022-20775 в свой каталог известных эксплуатируемых уязвимостей (KEV). Федеральные гражданские ведомства исполнительной власти обязаны устранить эти уязвимости в течение 24 часов.

CISA также выпустила экстренную директиву 26-03 под названием «Устранение уязвимостей в системах Cisco SD-WAN». Директива обязывает федеральные агентства провести инвентаризацию всех подпадающих под действие директивы активов SD-WAN, применить обновления безопасности и оценить наличие признаков компрометации.

В соответствии с установленными сроками, ведомства обязаны:

• Предоставьте каталог всех подпадающих под действие программы SD-WAN систем до 26 февраля 2026 года, 23:59 по восточному времени.
• Предоставьте подробный перечень затронутых продуктов и мер по устранению последствий к 5 марта 2026 года, 23:59 по восточному времени.
• Обо всех мерах по повышению экологической безопасности необходимо сообщить до 26 марта 2026 года, 23:59 по восточному времени.

Эти события подчеркивают острую необходимость в упреждающем управлении обновлениями, непрерывном мониторинге и усилении защиты инфраструктуры на периферии сети для противодействия сложным постоянным угрозам, нацеленным на среды SD-WAN.