Rabattoffert för flera licenser
Hotdatabas Sårbarhet SD-WAN CVE-2026-20127 Sårbarhet

SD-WAN CVE-2026-20127 Sårbarhet

Med Mezo år Sårbarhet
Översätt till:

En sårbarhet med maximal allvarlighetsgrad, spårad som CVE-2026-20127 (CVSS-poäng: 10.0), har identifierats i Cisco Systems Cisco Catalyst SD-WAN Controller och Cisco Catalyst SD-WAN Manager. Bristen gör det möjligt för en oautentiserad angripare att kringgå autentiseringskontroller och få administrativ åtkomst genom att skicka en specialskriven begäran till ett sårbart system.

Problemet härrör från ett fel i peering-autentiseringsmekanismen, vilket gör att en angripare kan logga in som en intern, högprivilegierad icke-root-användare. Med denna åtkomstnivå kan angripare interagera med NETCONF-tjänster och manipulera SD-WAN-strukturkonfigurationer, vilket potentiellt äventyrar integriteten och tillgängligheten i företagsnätverk.

Berörda distributionsmodeller

Sårbarheten påverkar flera distributionsmodeller, oavsett konfiguration:

  • Implementeringar på plats
  • Cisco-värdbaserat SD-WAN-moln
  • Cisco-hostat SD-WAN-moln – Cisco-hanterat
  • Cisco-hostat SD-WAN-moln – FedRAMP-miljö

System som är exponerade för det offentliga internet, särskilt de med öppna portar, står inför en betydligt förhöjd risk för kompromettering.

Aktiv exploatering och hotbildande aktörers aktivitet

Säkerhetsforskare har bekräftat aktiv exploatering som går tillbaka till 2023. Kampanjen spåras under beteckningen UAT-8616, bedömd som ett mycket avancerat hotkluster. Bevis tyder på att gruppen utnyttjade denna nolldagssårbarhet för att infiltrera Cisco SD-WAN-miljöer och få ihållande utökad åtkomst.

Attackmetoden innefattar skapandet av en obehörig motpart som ansluter sig till SD-WAN-hanterings- eller kontrollplanet. Denna skadliga enhet framstår som en legitim men tillfällig SD-WAN-komponent, vilket möjliggör betrodda interaktioner inom hanteringsinfrastrukturen.

Efter att en internetansluten applikation initialt komprometterats har angripare utnyttjat den inbyggda uppdateringsmekanismen för att nedgradera programvaruversioner. Denna nedgradering underlättar utnyttjandet av CVE-2022-20775 (CVSS-poäng: 7,8), en allvarlig brist i eskalering av privilegier i Cisco SD-WAN Software CLI. När root-privilegier har erhållits återställer angriparna systemet till dess ursprungliga programvaruversion för att minimera upptäckt.

Åtgärder efter kompromettering som tillskrivs UAT-8616 inkluderar:

  • Skapande av lokala användarkonton utformade för att likna legitima konton
  • Infogning av SSH-auktoriserade nycklar för root-åtkomst och modifiering av SD-WAN-startskript
  • Användning av NETCONF över port 830 och SSH för lateral förflyttning inom hanteringsplanet
  • Loggmanipulering, inklusive radering av filer under /var/log, kommandohistorik och nätverksanslutningsposter

Denna aktivitet återspeglar en bredare trend av sofistikerade aktörer som inriktar sig på nätverksinfrastruktur i utkanten av nätverket för att etablera varaktiga fotfästen i högvärdiga miljöer, inklusive kritiska infrastruktursektorer.

Vägledning för patchning och åtgärd

Cisco har släppt korrigeringar för flera programvarupaket. Organisationer som använder sårbara versioner måste uppgradera till korrigerade versioner, inklusive:

  • Versioner före 20.9.1: migrera till en fast version
  • 20.9: uppgradera till 20.9.8.2
  • 20.11.1: uppgradera till 20.12.6.1
  • 20.12.5: uppgradera till 20.12.5.3
  • 20.12.6: uppgradera till 20.12.6.1
  • 20.13.1, 20.14.1, 20.15: uppgradera till 20.15.4.2
  • 20.16.1 och 20.18: uppgradera till 20.18.2.1

Utöver patchning bör organisationer utföra forensisk validering. Rekommenderade åtgärder inkluderar att granska filen /var/log/auth.log för poster som refererar till "Accepterad offentlig nyckel för vmanage-admin" som kommer från okända IP-adresser. Alla misstänkta IP-adresser bör korsrefereras med konfigurerade system-IP-adresser som listas i Cisco Catalyst SD-WAN Manager webbgränssnitt under Enheter > System-IP.

För att upptäcka potentiella nedgraderingar eller oväntade omstartshändelser bör följande loggfiler analyseras:

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_synccdb.log

Federala mandat och regleringsåtgärder

Som svar på bekräftad exploatering lade Cybersecurity and Infrastructure Security Agency (CISA) till både CVE-2026-20127 och CVE-2022-20775 i sin katalog över kända utnyttjade sårbarheter (KEV). Federala myndigheter inom den civila verkställande makten är skyldiga att åtgärda dessa sårbarheter inom 24 timmar.

CISA har också utfärdat nöddirektiv 26-03 med titeln "Minska sårbarheter i Cisco SD-WAN-system". Direktivet ålägger federala myndigheter att inventera alla SD-WAN-tillgångar som omfattas av CISA, installera säkerhetsuppdateringar och bedöma tecken på komprometterade problem.

Efterlevnadsfrister kräver att myndigheterna:

  • Skicka in en katalog över alla SD-WAN-system som ingår senast den 26 februari 2026, 23:59 ET.
  • Tillhandahåll en detaljerad inventering av berörda produkter och åtgärdsåtgärder senast den 5 mars 2026, 23:59 ET.
  • Rapportera alla miljöförbättrande åtgärder senast den 26 mars 2026, 23:59 ET.

Denna utveckling understryker det akuta behovet av proaktiv patchhantering, kontinuerlig övervakning och defensiv härdning av nätverksinfrastrukturens kant för att mildra avancerade, ihållande hot mot SD-WAN-miljöer.

Trendigt

Medusa Ransomware Attack-kampanj

Advanced Persistent Threat (APT), Ransomware
Den nordkoreanskt kopplade hotbilden Lazarus Group, även känd som Diamond Sleet och Pompilus, har observerats använda Medusa ransomware i en attack mot en namnlös organisation i Mellanöstern. Säkerhetsforskare identifierade vidare ett misslyckat intrångsförsök av samma aktörer riktat mot en hälsovårdsorganisation i USA. Medusa arbetar enligt en ransomware-as-a-service (RaaS)-modell och...

Mest sedda

Läser in...