SD-WAN CVE-2026-20127 దుర్బలత్వం

Cisco సిస్టమ్స్ Cisco Catalyst SD-WAN కంట్రోలర్ మరియు Cisco Catalyst SD-WAN మేనేజర్‌లలో CVE-2026-20127 (CVSS స్కోర్: 10.0) గా ట్రాక్ చేయబడిన గరిష్ట-తీవ్రత దుర్బలత్వం గుర్తించబడింది. ఈ లోపం ప్రామాణీకరించబడని రిమోట్ దాడి చేసే వ్యక్తి ప్రామాణీకరణ నియంత్రణలను దాటవేయడానికి మరియు దుర్బల వ్యవస్థకు ప్రత్యేకంగా రూపొందించిన అభ్యర్థనను పంపడం ద్వారా పరిపాలనా ప్రాప్యతను పొందేందుకు వీలు కల్పిస్తుంది.

ఈ సమస్య పీరింగ్ ప్రామాణీకరణ యంత్రాంగంలో వైఫల్యం నుండి వచ్చింది, దీని వలన ప్రత్యర్థి అంతర్గత, అధిక-ప్రత్యేకత కలిగిన నాన్-రూట్ వినియోగదారుగా లాగిన్ అవ్వడానికి వీలు కల్పిస్తుంది. ఈ స్థాయి యాక్సెస్‌తో, దాడి చేసేవారు NETCONF సేవలతో సంభాషించవచ్చు మరియు SD-WAN ఫాబ్రిక్ కాన్ఫిగరేషన్‌లను మార్చవచ్చు, ఇది ఎంటర్‌ప్రైజ్ నెట్‌వర్క్‌ల సమగ్రత మరియు లభ్యతను రాజీ చేసే అవకాశం ఉంది.

ప్రభావిత విస్తరణ నమూనాలు

కాన్ఫిగరేషన్‌తో సంబంధం లేకుండా, దుర్బలత్వం బహుళ విస్తరణ నమూనాలను ప్రభావితం చేస్తుంది:

• ఆన్-ప్రిమ్ విస్తరణలు
• సిస్కో హోస్ట్ చేసిన SD-WAN క్లౌడ్
• సిస్కో హోస్ట్ చేసిన SD-WAN క్లౌడ్ - సిస్కో నిర్వహించబడింది
• సిస్కో హోస్ట్ చేసిన SD-WAN క్లౌడ్ - FedRAMP ఎన్విరాన్మెంట్

పబ్లిక్ ఇంటర్నెట్‌కు గురయ్యే వ్యవస్థలు, ముఖ్యంగా ఓపెన్ పోర్ట్‌లు ఉన్నవి, రాజీపడే ప్రమాదాన్ని గణనీయంగా పెంచుతాయి.

క్రియాశీల దోపిడీ మరియు బెదిరింపు నటుల కార్యాచరణ

భద్రతా పరిశోధకులు 2023 నాటి క్రియాశీల దోపిడీని నిర్ధారించారు. ఈ ప్రచారం UAT-8616 హోదా కింద ట్రాక్ చేయబడుతోంది, ఇది అత్యంత అధునాతన ముప్పు క్లస్టర్‌గా అంచనా వేయబడింది. Cisco SD-WAN పరిసరాలలోకి చొరబడటానికి మరియు నిరంతర ఎలివేటెడ్ యాక్సెస్‌ను పొందడానికి సమూహం ఈ జీరో-డే దుర్బలత్వాన్ని ఉపయోగించుకుందని ఆధారాలు సూచిస్తున్నాయి.

దాడి పద్ధతిలో SD-WAN నిర్వహణ లేదా నియంత్రణ విమానంలో చేరే ఒక రోగ్ పీర్‌ను సృష్టించడం ఉంటుంది. ఈ హానికరమైన పరికరం చట్టబద్ధమైన కానీ తాత్కాలిక SD-WAN భాగంగా కనిపిస్తుంది, నిర్వహణ మౌలిక సదుపాయాలలో విశ్వసనీయ పరస్పర చర్యలను అనుమతిస్తుంది.

ఇంటర్నెట్-ఫేసింగ్ అప్లికేషన్ యొక్క ప్రారంభ రాజీ తర్వాత, దాడి చేసేవారు సాఫ్ట్‌వేర్ వెర్షన్‌లను డౌన్‌గ్రేడ్ చేయడానికి అంతర్నిర్మిత నవీకరణ విధానాన్ని ఉపయోగించుకున్నారు. ఈ డౌన్‌గ్రేడ్ CVE-2022-20775 (CVSS స్కోర్: 7.8) యొక్క దోపిడీని సులభతరం చేస్తుంది, ఇది Cisco SD-WAN సాఫ్ట్‌వేర్ CLIలో అధిక-తీవ్రత ప్రివిలేజ్ ఎస్కలేషన్ లోపం. రూట్ ప్రివిలేజ్‌లను పొందిన తర్వాత, దాడి చేసేవారు గుర్తింపును తగ్గించడానికి సిస్టమ్‌ను దాని అసలు సాఫ్ట్‌వేర్ వెర్షన్‌కు పునరుద్ధరిస్తారు.

UAT-8616 కు ఆపాదించబడిన రాజీ-అనంతర చర్యలు:

• చట్టబద్ధమైన ఖాతాలను పోలి ఉండేలా రూపొందించబడిన స్థానిక వినియోగదారు ఖాతాల సృష్టి.

కీలకమైన మౌలిక సదుపాయాల రంగాలతో సహా అధిక-విలువ వాతావరణాలలో మన్నికైన స్థావరాలను ఏర్పరచుకోవడానికి నెట్‌వర్క్ ఎడ్జ్ మౌలిక సదుపాయాలను లక్ష్యంగా చేసుకునే అధునాతన నటుల విస్తృత ధోరణిని ఈ కార్యాచరణ ప్రతిబింబిస్తుంది.

ప్యాచింగ్ మరియు రెమెడియేషన్ మార్గదర్శకత్వం

సిస్కో బహుళ సాఫ్ట్‌వేర్ రైళ్లలో పరిష్కారాలను విడుదల చేసింది. దుర్బలమైన వెర్షన్‌లను నిర్వహిస్తున్న సంస్థలు పరిష్కార విడుదలలకు అప్‌గ్రేడ్ చేయాలి, వాటిలో:

• 20.9.1 కి ముందు వెర్షన్లు: స్థిర విడుదలకు మైగ్రేట్ అవ్వండి
• 20.9: 20.9.8.2 కి అప్‌గ్రేడ్ చేయండి
• 20.11.1: 20.12.6.1 కి అప్‌గ్రేడ్ చేయండి
• 20.12.5: 20.12.5.3 కి అప్‌గ్రేడ్ చేయండి
• 20.12.6: 20.12.6.1 కి అప్‌గ్రేడ్ చేయండి
• 20.13.1, 20.14.1, 20.15: 20.15.4.2 కి అప్‌గ్రేడ్ చేయండి
• 20.16.1 మరియు 20.18: 20.18.2.1 కి అప్‌గ్రేడ్ చేయండి

ప్యాచింగ్‌తో పాటు, సంస్థలు ఫోరెన్సిక్ ధ్రువీకరణను నిర్వహించాలి. తెలియని IP చిరునామాల నుండి ఉద్భవించే 'Accepted publickey for vmanage-admin' అని సూచించే ఎంట్రీల కోసం /var/log/auth.log ఫైల్‌ను సమీక్షించడం సిఫార్సు చేయబడిన చర్యలలో ఒకటి. ఏవైనా అనుమానాస్పద IPలను పరికరాలు > సిస్టమ్ IP కింద Cisco Catalyst SD-WAN మేనేజర్ వెబ్ UIలో జాబితా చేయబడిన కాన్ఫిగర్ చేయబడిన సిస్టమ్ IPలతో క్రాస్-రిఫరెన్స్ చేయాలి.

సంభావ్య డౌన్‌గ్రేడ్ లేదా ఊహించని రీబూట్ ఈవెంట్‌లను గుర్తించడానికి, కింది లాగ్ ఫైల్‌లను విశ్లేషించాలి:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug ను ఉపయోగించి అనువాదాలను పొందండి.
• /var/volatile/log/sw_script_synccdb.log ద్వారా

సమాఖ్య ఆదేశాలు మరియు నియంత్రణ ప్రతిస్పందన

ధృవీకరించబడిన దోపిడీకి ప్రతిస్పందనగా, సైబర్ సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA) దాని తెలిసిన దోపిడీకి గురైన దుర్బలత్వాలు (KEV) కేటలాగ్‌లో CVE-2026-20127 మరియు CVE-2022-20775 రెండింటినీ జోడించింది. ఫెడరల్ సివిలియన్ ఎగ్జిక్యూటివ్ బ్రాంచ్ ఏజెన్సీలు ఈ దుర్బలత్వాలను 24 గంటల్లోపు పరిష్కరించాల్సి ఉంటుంది.

CISA 'సిస్కో SD-WAN సిస్టమ్స్‌లో దుర్బలత్వాలను తగ్గించడం' అనే శీర్షికతో అత్యవసర నిర్దేశకం 26-03ను కూడా జారీ చేసింది. ఈ నిర్దేశం ప్రకారం సమాఖ్య సంస్థలు అన్ని ఇన్-స్కోప్ SD-WAN ఆస్తులను జాబితా చేయడం, భద్రతా నవీకరణలను వర్తింపజేయడం మరియు రాజీ సూచికలను అంచనా వేయడం తప్పనిసరి.

సమ్మతి గడువులకు ఏజెన్సీలు వీటిని చేయాలి:

• ఫిబ్రవరి 26, 2026, రాత్రి 11:59 ET నాటికి అన్ని ఇన్-స్కోప్ SD-WAN సిస్టమ్‌ల కేటలాగ్‌ను సమర్పించండి.
• మార్చి 5, 2026, రాత్రి 11:59 ET నాటికి ప్రభావిత ఉత్పత్తులు మరియు నివారణ చర్యల వివరణాత్మక జాబితాను అందించండి.
• మార్చి 26, 2026, రాత్రి 11:59 ET నాటికి అన్ని పర్యావరణ గట్టిపడే చర్యలను నివేదించండి.

SD-WAN వాతావరణాలను లక్ష్యంగా చేసుకుని అధునాతన నిరంతర ముప్పులను తగ్గించడానికి నెట్‌వర్క్ ఎడ్జ్ మౌలిక సదుపాయాల యొక్క చురుకైన ప్యాచ్ నిర్వహణ, నిరంతర పర్యవేక్షణ మరియు రక్షణాత్మక గట్టిపడటం యొక్క అత్యవసర అవసరాన్ని ఈ పరిణామాలు నొక్కి చెబుతున్నాయి.