Рањивост SD-WAN CVE-2026-20127
Рањивост максималне озбиљности, означена као CVE-2026-20127 (CVSS оцена: 10,0), идентификована је у Cisco Systems Cisco Catalyst SD-WAN контролеру и Cisco Catalyst SD-WAN Manager-у. Рањивост омогућава неаутентификованом удаљеном нападачу да заобиђе контроле аутентификације и добије администраторски приступ слањем посебно креираног захтева рањивом систему.
Проблем произилази из квара у механизму за аутентификацију путем пиринга, што омогућава противнику да се пријави као интерни корисник са високим привилегијама, који није root. Са овим нивоом приступа, нападачи могу да интерагују са NETCONF услугама и манипулишу конфигурацијама SD-WAN структуре, што потенцијално угрожава интегритет и доступност пословних мрежа.
Преглед садржаја
Погођени модели имплементације
Рањивост утиче на више модела имплементације, без обзира на конфигурацију:
- Локалне инсталације
- Cisco хостовани SD-WAN облак
- Cisco хостовани SD-WAN облак – управљано од стране Cisco-а
- Cisco хостовани SD-WAN облак – FedRAMP окружење
Системи изложени јавном интернету, посебно они са отвореним портовима, суочавају се са значајно повећаним ризиком од компромитовања.
Активна експлоатација и активност актера претње
Истраживачи безбедности су потврдили активну експлоатацију која датира још од 2023. године. Кампања се прати под ознаком UAT-8616, оцењена као веома напредни кластер претњи. Докази указују на то да је група искористила ову zero-day рањивост да би се инфилтрирала у Cisco SD-WAN окружења и добила трајни повећани приступ.
Методологија напада укључује креирање лажног вршњака који се придружује управљачкој или контролној равни SD-WAN мреже. Овај злонамерни уређај се појављује као легитимна, али привремена SD-WAN компонента, омогућавајући поуздане интеракције унутар управљачке инфраструктуре.
Након почетног компромитовања апликације повезане на интернет, нападачи су искористили уграђени механизам ажурирања да би вратили верзије софтвера на старије верзије. Ово враћање верзије олакшава експлоатацију CVE-2022-20775 (CVSS резултат: 7,8), пропуста високог степена озбиљности који се односи на ескалацију привилегија у Cisco SD-WAN софтверском интерфејсу командне линије. Након што се добију root привилегије, нападачи враћају систем на оригиналну верзију софтвера како би минимизирали откривање.
Пост-компромисне акције које се приписују UAT-8616 укључују:
- Креирање локалних корисничких налога дизајнираних да личе на легитимне налоге
- Уметање SSH ауторизованих кључева за root приступ и модификација SD-WAN скрипти за покретање
- Коришћење NETCONF-а преко порта 830 и SSH-а за бочно кретање унутар управљачке равни
- Неовлашћено мењање логова, укључујући брисање датотека у /var/log, историје команди и записа мрежне везе
Ова активност одражава шири тренд софистицираних актера који циљају инфраструктуру на рубу мреже како би успоставили трајна упоришта у окружењима високе вредности, укључујући секторе критичне инфраструктуре.
Упутство за исправљање и поправке
Cisco је објавио исправке за више софтверских линија. Организације које користе рањиве верзије морају да надограде на исправљене верзије, укључујући:
- Верзије пре верзије 20.9.1: пређите на фиксно издање
- 20.9: надоградња на 20.9.8.2
- 20.11.1: надоградња на 20.12.6.1
- 20.12.5: надоградња на 20.12.5.3
- 20.12.6: надоградња на 20.12.6.1
- 20.13.1, 20.14.1, 20.15: надоградња на 20.15.4.2
- 20.16.1 и 20.18: надоградња на 20.18.2.1
Поред закрпа, организације би требало да спроводе форензичку валидацију. Препоручене акције укључују преглед датотеке /var/log/auth.log за уносе који се позивају на „Прихваћени јавни кључ за vmanage-admin“ а потичу са непознатих IP адреса. Све сумњиве IP адресе треба упоредити са конфигурисаним системским IP адресама наведеним у веб корисничком интерфејсу Cisco Catalyst SD-WAN Manager-а у одељку Уређаји > Системска IP адреса.
Да би се открили потенцијални догађаји враћања верзије система на старију верзију или неочекиваног поновног покретања, требало би анализирати следеће датотеке дневника:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
Федерални мандати и регулаторни одговор
Као одговор на потврђену експлоатацију, Агенција за сајбер безбедност и безбедност инфраструктуре (CISA) додала је и CVE-2026-20127 и CVE-2022-20775 у свој каталог познатих искоришћених рањивости (KEV). Федералне агенције цивилне извршне власти су дужне да отклоне ове рањивости у року од 24 сата.
CISA је такође издала Директиву за ванредне ситуације 26-03, под називом „Ублажавање рањивости у Cisco SD-WAN системима“. Директива налаже савезним агенцијама да попишу сву SD-WAN имовину која је у оквиру ње, примене безбедносна ажурирања и процене индикаторе компромитовања.
Рокови за усклађивање захтевају од агенција да:
- Пошаљите каталог свих SD-WAN система који обухватају процену до 26. фебруара 2026. године, 23:59 часова по источном времену.
- Доставите детаљан попис погођених производа и мера за санацију проблема до 5. марта 2026. године, 23:59 часова по источном времену.
- Пријавите све мере за учвршћивање животне средине до 26. марта 2026. године, 23:59 часова по источном времену.
Ови развоји наглашавају хитну потребу за проактивним управљањем закрпама, континуираним праћењем и одбрамбеним јачањем инфраструктуре мрежне ивице како би се ублажиле напредне, упорне претње усмерене на SD-WAN окружења.
