Multilicenčná zľavová ponuka
Databáza hrozieb Zraniteľnosť Zraniteľnosť SD-WAN CVE-2026-20127

Zraniteľnosť SD-WAN CVE-2026-20127

Do roku Mezo v roku Zraniteľnosť
Preložiť do:

V ovládači Cisco Catalyst SD-WAN a Cisco Catalyst SD-WAN Manager od spoločnosti Cisco Systems bola identifikovaná zraniteľnosť s maximálnym stupňom závažnosti, sledovaná ako CVE-2026-20127 (skóre CVSS: 10,0). Táto chyba umožňuje neoverenému vzdialenému útočníkovi obísť overovacie kontroly a získať administratívny prístup odoslaním špeciálne vytvorenej požiadavky do zraniteľného systému.

Problém pramení z zlyhania mechanizmu peeringovej autentifikácie, čo útočníkovi umožňuje prihlásiť sa ako interný používateľ s vysokými privilégiami (nie root). S touto úrovňou prístupu môžu útočníci interagovať so službami NETCONF a manipulovať s konfiguráciami siete SD-WAN, čo môže ohroziť integritu a dostupnosť podnikových sietí.

Dotknuté modely nasadenia

Táto zraniteľnosť ovplyvňuje viacero modelov nasadenia bez ohľadu na konfiguráciu:

  • Lokálne nasadenia
  • Cisco hostované cloudové riešenia SD-WAN
  • Cisco hostované SD-WAN cloudové riešenia – spravované spoločnosťou Cisco
  • Cisco hostované SD-WAN cloudové riešenie – prostredie FedRAMP

Systémy vystavené verejnému internetu, najmä tie s otvorenými portami, čelia výrazne zvýšenému riziku kompromitácie.

Aktívne zneužívanie a aktivita aktérov hrozieb

Bezpečnostní experti potvrdili aktívne zneužívanie siahajúce až do roku 2023. Kampaň je sledovaná pod označením UAT-8616 a je hodnotená ako vysoko pokročilý klaster hrozieb. Dôkazy naznačujú, že skupina využila túto zraniteľnosť typu „zero-day“ na infiltráciu prostredí Cisco SD-WAN a získanie trvalého zvýšenia prístupu.

Metodika útoku zahŕňa vytvorenie nepoctivého uzla, ktoré sa pripojí k riadiacej alebo kontrolnej rovine SD-WAN. Toto škodlivé zariadenie sa javí ako legitímny, ale dočasný komponent SD-WAN, čo umožňuje dôveryhodné interakcie v rámci riadiacej infraštruktúry.

Po počiatočnom napadnutí aplikácie prístupnej na internet útočníci zneužili vstavaný mechanizmus aktualizácie na zníženie verzie softvéru. Toto zníženie verzie uľahčuje zneužitie chyby CVE-2022-20775 (skóre CVSS: 7,8), čo je závažná chyba eskalácie privilégií v rozhraní príkazového riadka softvéru Cisco SD-WAN. Po získaní root privilégií útočníci obnovia systém na pôvodnú verziu softvéru, aby minimalizovali detekciu.

Medzi akcie po kompromitácii pripisované UAT-8616 patria:

  • Vytváranie lokálnych používateľských účtov navrhnutých tak, aby sa podobali legitímnym účtom
  • Vloženie autorizovaných kľúčov SSH pre root prístup a úprava spúšťacích skriptov SD-WAN
  • Použitie NETCONF cez port 830 a SSH pre laterálny pohyb v rámci roviny riadenia
  • Zmena protokolov vrátane vymazania súborov v /var/log, histórie príkazov a záznamov o sieťovom pripojení

Táto aktivita odráža širší trend sofistikovaných aktérov zameraných na infraštruktúru na okraji siete s cieľom vybudovať si trvalé pozície vo vysokohodnotných prostrediach vrátane sektorov kritickej infraštruktúry.

Pokyny pre opravy a nápravu

Spoločnosť Cisco vydala opravy pre viacero softvérových liniek. Organizácie, ktoré používajú zraniteľné verzie, musia prejsť na opravené verzie vrátane:

  • Verzie staršie ako 20.9.1: migrácia na pevnú verziu
  • 20.9: aktualizácia na 20.9.8.2
  • 20.11.1: aktualizácia na 20.12.6.1
  • 20.12.5: aktualizácia na 20.12.5.3
  • 20.12.6: aktualizácia na 20.12.6.1
  • 20.13.1, 20.14.1, 20.15: aktualizácia na 20.15.4.2
  • 20.16.1 a 20.18: aktualizácia na 20.18.2.1

Okrem opravy by organizácie mali vykonať forenznú validáciu. Medzi odporúčané akcie patrí kontrola súboru /var/log/auth.log, či neobsahuje položky odkazujúce na „Accepted publickey for vmanage-admin“ pochádzajúce z neznámych IP adries. Akékoľvek podozrivé IP adresy by sa mali porovnať s nakonfigurovanými systémovými IP adresami uvedenými vo webovom používateľskom rozhraní Cisco Catalyst SD-WAN Manager v časti Zariadenia > Systémová IP adresa.

Na zistenie potenciálnych udalostí zníženia verzie systému alebo neočakávaného reštartu by sa mali analyzovať nasledujúce súbory denníka:

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_synccdb.log

Federálne mandáty a regulačná reakcia

V reakcii na potvrdené zneužitie pridala Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) chyby CVE-2026-20127 a CVE-2022-20775 do svojho katalógu známych zneužitých zraniteľností (KEV). Federálne civilné orgány výkonnej moci sú povinné tieto zraniteľnosti odstrániť do 24 hodín.

CISA tiež vydala núdzovú smernicu 26-03 s názvom „Zmiernenie zraniteľností v systémoch Cisco SD-WAN“. Smernica nariaďuje federálnym agentúram, aby vykonali inventarizáciu všetkých zariadení SD-WAN v rozsahu pôsobnosti, aplikovali bezpečnostné aktualizácie a posúdili indikátory ohrozenia.

Lehoty na dodržiavanie predpisov vyžadujú, aby agentúry:

  • Predložte katalóg všetkých systémov SD-WAN, ktoré sú v rozsahu pôsobnosti, do 26. februára 2026, 23:59 ET.
  • Poskytnite podrobný zoznam dotknutých produktov a nápravných opatrení do 5. marca 2026, 23:59 ET.
  • Všetky opatrenia na sprísnenie životného prostredia nahláste do 26. marca 2026, 23:59 ET.

Tento vývoj zdôrazňuje naliehavú potrebu proaktívnej správy záplat, nepretržitého monitorovania a obranného posilňovania infraštruktúry na okraji siete s cieľom zmierniť pokročilé pretrvávajúce hrozby zamerané na prostredia SD-WAN.

Trendy

Útok ransomvéru Medusa

Pokročilá perzistentná hrozba (APT), Ransomware
So Severnou Kóreou prepojená skupina kybernetických hackerov známa ako Lazarus Group, sledovaná aj ako Diamond Sleet a Pompilus, bola pozorovaná pri útoku na nemenovanú organizáciu na Blízkom východe s použitím ransomvéru Medusa. Bezpečnostní experti ďalej identifikovali neúspešný pokus tých istých aktérov o prienik, ktorý sa zameral na zdravotnícku organizáciu v Spojených štátoch. Medusa...

Najviac videné

Načítava...