Dobësia SD-WAN CVE-2026-20127

Një dobësi me ashpërsi maksimale, e gjurmuar si CVE-2026-20127 (rezultati CVSS: 10.0), është identifikuar në Cisco Systems Cisco Catalyst SD-WAN Controller dhe Cisco Catalyst SD-WAN Manager. Kjo dobësi i mundëson një sulmuesi të paautorizuar në distancë të anashkalojë kontrollet e autentifikimit dhe të fitojë akses administrativ duke dërguar një kërkesë të hartuar posaçërisht në një sistem të cenueshëm.

Problemi rrjedh nga një dështim në mekanizmin e vërtetimit të peering, duke i lejuar një kundërshtari të identifikohet si një përdorues i brendshëm, jo-root, me privilegje të larta. Me këtë nivel aksesi, sulmuesit mund të bashkëveprojnë me shërbimet NETCONF dhe të manipulojnë konfigurimet e strukturës SD-WAN, duke kompromentuar potencialisht integritetin dhe disponueshmërinë e rrjeteve të ndërmarrjeve.

Modelet e Vendosjes së Prekura

Dobësia ndikon në modele të shumta vendosjeje, pavarësisht nga konfigurimi:

• Vendosjet në vend
• Cloud SD-WAN i Hostuar nga Cisco
• Cloud SD-WAN i Hostuar nga Cisco – Cisco Managed
• Cloud SD-WAN i Hostuar nga Cisco – Mjedisi FedRAMP

Sistemet e ekspozuara ndaj internetit publik, veçanërisht ato me porta të hapura, përballen me një rrezik dukshëm më të lartë të kompromentimit.

Shfrytëzimi Aktiv dhe Aktiviteti i Aktorit Kërcënues

Studiuesit e sigurisë kanë konfirmuar shfrytëzimin aktiv që daton që nga viti 2023. Fushata po gjurmohet nën përcaktimin UAT-8616, i vlerësuar si një grumbull kërcënimesh shumë i avancuar. Provat tregojnë se grupi e shfrytëzoi këtë dobësi zero-ditore për të depërtuar në mjediset Cisco SD-WAN dhe për të marrë akses të vazhdueshëm të lartë.

Metodologjia e sulmit përfshin krijimin e një bashkëmoshatari mashtrues që i bashkohet planit të menaxhimit ose kontrollit SD-WAN. Kjo pajisje keqdashëse shfaqet si një komponent legjitim, por i përkohshëm SD-WAN, duke mundësuar ndërveprime të besueshme brenda infrastrukturës së menaxhimit.

Pas kompromentimit fillestar të një aplikacioni me qasje në internet, sulmuesit kanë shfrytëzuar mekanizmin e integruar të përditësimit për të ulur versionet e softuerit. Ky ulje lehtëson shfrytëzimin e CVE-2022-20775 (rezultati CVSS: 7.8), një defekt i përshkallëzimit të privilegjeve me ashpërsi të lartë në CLI të Softuerit Cisco SD-WAN. Pasi të merren privilegjet root, sulmuesit e rikthejnë sistemin në versionin e tij origjinal të softuerit për të minimizuar zbulimin.

Veprimet pas kompromisit që i atribuohen UAT-8616 përfshijnë:

• Krijimi i llogarive të përdoruesve lokalë të dizajnuara për t'u ngjashëm me llogaritë legjitime
• Futja e çelësave të autorizuar SSH për akses root dhe modifikimi i skripteve të fillimit të SD-WAN

• Përdorimi i NETCONF mbi portin 830 dhe SSH për lëvizje anësore brenda planit të menaxhimit

• Ndërhyrje në regjistër, duke përfshirë fshirjen e skedarëve nën /var/log, historikun e komandave dhe të dhënat e lidhjes së rrjetit

Ky aktivitet pasqyron një trend më të gjerë të aktorëve të sofistikuar që synojnë infrastrukturën skajore të rrjetit për të krijuar pikëmbështetje të qëndrueshme në mjedise me vlerë të lartë, duke përfshirë sektorët e infrastrukturës kritike.

Udhëzime për riparimin dhe ndreqjen

Cisco ka publikuar rregullime në disa lloje softuerësh. Organizatat që operojnë versione të cenueshme duhet të përmirësojnë versionet e korrigjuara, duke përfshirë:

• Versionet para versionit 20.9.1: migrojnë në një version të fiksuar
• 20.9: përditëso në 20.9.8.2
• 20.11.1: përditëso në 20.12.6.1
• 20.12.5: përditëso në 20.12.5.3
• 20.12.6: përditëso në 20.12.6.1
• 20.13.1, 20.14.1, 20.15: përditësim në 20.15.4.2
• 20.16.1 dhe 20.18: përditësim në 20.18.2.1

Përveç patch-eve, organizatat duhet të kryejnë validim forenzik. Veprimet e rekomanduara përfshijnë shqyrtimin e skedarit /var/log/auth.log për hyrje që i referohen 'Accepted publickey for vmanage-admin' me origjinë nga adresa IP të panjohura. Çdo IP e dyshimtë duhet të kryqëzohet me IP-të e konfiguruara të sistemit të listuara në ndërfaqen e përdoruesit të internetit të Cisco Catalyst SD-WAN Manager nën Pajisjet > IP-ja e sistemit.

Për të zbuluar ngjarje të mundshme uljeje të versionit ose ngjarje të papritura të rinisjes, duhet të analizohen skedarët e mëposhtëm të regjistrit:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Mandatet Federale dhe Përgjigja Rregullatore

Në përgjigje të shfrytëzimit të konfirmuar, Agjencia e Sigurisë Kibernetike dhe Infrastrukturës (CISA) shtoi si CVE-2026-20127 ashtu edhe CVE-2022-20775 në katalogun e saj të Dobësive të Njohura të Shfrytëzuara (KEV). Agjencitë e Degës Federale Civile Ekzekutive duhet t'i ndreqin këto dobësi brenda 24 orëve.

CISA ka lëshuar gjithashtu Direktivën e Emergjencës 26-03, të titulluar 'Zbutja e Dobësive në Sistemet Cisco SD-WAN'. Direktiva i urdhëron agjencitë federale të inventarizojnë të gjitha asetet SD-WAN brenda fushëveprimit, të aplikojnë përditësime sigurie dhe të vlerësojnë për tregues të kompromentimit.

Afatet e pajtueshmërisë kërkojnë që agjencitë të:

• Dorëzoni një katalog të të gjitha sistemeve SD-WAN brenda fushëveprimit deri më 26 shkurt 2026, ora 23:59 ET.
• Jepni një inventar të detajuar të produkteve të prekura dhe veprimeve të ndreqjes deri më 5 mars 2026, ora 23:59 ET.
• Raportoni të gjitha masat e forcimit të mjedisit deri më 26 mars 2026, ora 23:59 ET.

Këto zhvillime nënvizojnë nevojën urgjente për menaxhim proaktiv të patch-eve, monitorim të vazhdueshëm dhe forcim mbrojtës të infrastrukturës skajore të rrjetit për të zbutur kërcënimet e vazhdueshme të avancuara që synojnë mjediset SD-WAN.