Popust za več licenc
Podjetje o grožnjah Ranljivost Ranljivost SD-WAN CVE-2026-20127

Ranljivost SD-WAN CVE-2026-20127

Do leta Mezo leta Ranljivost
Prevedi v:

V krmilniku Cisco Catalyst SD-WAN in upravljalniku Cisco Catalyst SD-WAN podjetja Cisco Systems je bila odkrita ranljivost najvišje resnosti, označena kot CVE-2026-20127 (ocena CVSS: 10,0). Napaka omogoča nepreverjenemu oddaljenemu napadalcu, da zaobide nadzor preverjanja pristnosti in pridobi skrbniški dostop tako, da ranljivemu sistemu pošlje posebej oblikovano zahtevo.

Težava izvira iz napake v mehanizmu za preverjanje pristnosti prek peeringa, ki nasprotniku omogoča prijavo kot interni uporabnik z visokimi privilegiji, ki ni root. S to stopnjo dostopa lahko napadalci komunicirajo s storitvami NETCONF in manipulirajo s konfiguracijami strukture SD-WAN, kar lahko ogrozi integriteto in razpoložljivost poslovnih omrežij.

Prizadeti modeli uvajanja

Ranljivost vpliva na več modelov uvajanja, ne glede na konfiguracijo:

  • Lokalne uvedbe
  • Cisco gostovan oblak SD-WAN
  • Cisco gostovan oblak SD-WAN – upravljano s strani Cisco
  • Cisco gostovan oblak SD-WAN – okolje FedRAMP

Sistemi, izpostavljeni javnemu internetu, zlasti tisti z odprtimi vrati, se soočajo z znatno povečanim tveganjem vdora.

Aktivno izkoriščanje in dejavnost akterjev grožnje

Varnostni raziskovalci so potrdili aktivno izkoriščanje, ki sega v leto 2023. Kampanja se spremlja pod oznako UAT-8616 in je ocenjena kot zelo napredna skupina groženj. Dokazi kažejo, da je skupina izkoristila to ranljivost ničelnega dne za infiltracijo v okolja Cisco SD-WAN in pridobitev trajnega povečanega dostopa.

Metodologija napada vključuje ustvarjanje prevarantskega vrstnika, ki se pridruži upravljalni ali nadzorni ravnini SD-WAN. Ta zlonamerna naprava se pojavi kot legitimna, a začasna komponenta SD-WAN, kar omogoča zaupanja vredne interakcije znotraj upravljalne infrastrukture.

Po začetnem vdoru v aplikacijo, dostopno do interneta, so napadalci izkoristili vgrajeni mehanizem posodabljanja za znižanje različic programske opreme. Ta znižanje omogoča izkoriščanje napake CVE-2022-20775 (ocena CVSS: 7,8), ki je zelo resna napaka v vmesniku CLI programske opreme Cisco SD-WAN, ki povzroča eskalacijo privilegijev. Ko so pridobljene korenske pravice, napadalci obnovijo sistem na prvotno različico programske opreme, da bi zmanjšali tveganje za odkrivanje.

Dejanja po ogrožanju, ki se pripisujejo UAT-8616, vključujejo:

  • Ustvarjanje lokalnih uporabniških računov, zasnovanih tako, da so podobni legitimnim računom
  • Vstavljanje pooblaščenih ključev SSH za root dostop in spreminjanje zagonskih skriptov SD-WAN
  • Uporaba NETCONF prek vrat 830 in SSH za lateralno premikanje znotraj upravljalne ravnine
  • Spreminjanje dnevnika, vključno z brisanjem datotek v /var/log, zgodovine ukazov in zapisov omrežnih povezav

Ta dejavnost odraža širši trend sofisticiranih akterjev, ki ciljajo na robno omrežno infrastrukturo, da bi vzpostavili trajne opore v okoljih z visoko vrednostjo, vključno s sektorji kritične infrastrukture.

Navodila za popravke in sanacijo

Cisco je izdal popravke za več programskih sklopov. Organizacije, ki uporabljajo ranljive različice, morajo nadgraditi na popravljene izdaje, vključno z:

  • Različice pred 20.9.1: selitev na fiksno izdajo
  • 20.9: nadgradnja na 20.9.8.2
  • 20.11.1: nadgradnja na 20.12.6.1
  • 20.12.5: nadgradnja na 20.12.5.3
  • 20.12.6: nadgradnja na 20.12.6.1
  • 20.13.1, 20.14.1, 20.15: nadgradnja na 20.15.4.2
  • 20.16.1 in 20.18: nadgradnja na 20.18.2.1

Poleg nameščanja popravkov bi morale organizacije izvesti forenzično preverjanje. Priporočeni ukrepi vključujejo pregled datoteke /var/log/auth.log za vnose, ki se sklicujejo na »Sprejeti javni ključ za vmanage-admin« in izvirajo iz neznanih naslovov IP. Vse sumljive naslove IP je treba primerjati s konfiguriranimi sistemskimi naslovi IP, navedenimi v spletnem uporabniškem vmesniku Cisco Catalyst SD-WAN Manager v razdelku Naprave > Sistemski IP.

Za odkrivanje morebitnih znižanj različice ali nepričakovanih ponovnih zagonov je treba analizirati naslednje dnevniške datoteke:

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_synccdb.log

Zvezni mandati in regulativni odziv

Agencija za kibernetsko varnost in varnost infrastrukture (CISA) je v odgovor na potrjeno izkoriščanje dodala tako CVE-2026-20127 kot CVE-2022-20775 v svoj katalog znanih izkoriščenih ranljivosti (KEV). Zvezne civilne izvršilne agencije morajo te ranljivosti odpraviti v 24 urah.

CISA je izdala tudi direktivo o izrednih razmerah 26-03 z naslovom »Zmanjšanje ranljivosti v sistemih Cisco SD-WAN«. Direktiva zveznim agencijam nalaga, da popisujejo vsa sredstva SD-WAN, ki so v obsegu, namestijo varnostne posodobitve in ocenijo kazalnike ogrožanja.

Roki za skladnost od agencij zahtevajo, da:

  • Katalog vseh sistemov SD-WAN, ki so vključeni v obseg, oddajte do 26. februarja 2026, 23:59 ET.
  • Podroben popis prizadetih izdelkov in sanacijskih ukrepov predložite do 5. marca 2026, 23:59 ET.
  • Vse ukrepe za izboljšanje okolja sporočite do 26. marca 2026, 23:59 ET.

Ta dogajanja poudarjajo nujno potrebo po proaktivnem upravljanju popravkov, nenehnem spremljanju in obrambni krepitvi robne omrežne infrastrukture za ublažitev naprednih vztrajnih groženj, ki ciljajo na okolja SD-WAN.

V trendu

Kampanja napada izsiljevalske programske opreme Medusa

Napredna trajna grožnja (APT), Ransomware
Severnokorejski akter, znan kot Lazarus Group, ki ga spremljajo tudi kot Diamond Sleet in Pompilus, je bil opažen pri uporabi izsiljevalske programske opreme Medusa v napadu na neimenovano organizacijo na Bližnjem vzhodu. Varnostni raziskovalci so nadalje odkrili neuspešen poskus vdora istih akterjev, ki je bil usmerjen v zdravstveno organizacijo v Združenih državah. Medusa deluje po modelu...

Najbolj gledan

Nalaganje...