Kahinaan ng SD-WAN CVE-2026-20127

Isang kahinaan na may pinakamataas na antas ng kalubhaan, na sinusubaybayan bilang CVE-2026-20127 (CVSS score: 10.0), ang natukoy sa Cisco Systems Cisco Catalyst SD-WAN Controller at Cisco Catalyst SD-WAN Manager. Ang depekto ay nagbibigay-daan sa isang hindi awtorisadong remote attacker na malampasan ang mga kontrol sa pagpapatotoo at makakuha ng administratibong access sa pamamagitan ng pagpapadala ng isang espesyal na ginawang kahilingan sa isang mahinang sistema.

Ang isyu ay nagmumula sa isang pagkabigo sa mekanismo ng peering authentication, na nagpapahintulot sa isang kalaban na mag-log in bilang isang internal, high-privileged non-root user. Gamit ang ganitong antas ng access, maaaring makipag-ugnayan ang mga attacker sa mga serbisyo ng NETCONF at manipulahin ang mga configuration ng SD-WAN fabric, na posibleng makompromiso ang integridad at availability ng mga enterprise network.

Mga Apektadong Modelo ng Pag-deploy

Ang kahinaan ay nakakaapekto sa maraming modelo ng pag-deploy, anuman ang configuration:

• Mga pag-deploy sa loob ng lugar
• Cisco Hosted SD-WAN Cloud
• Cisco Hosted SD-WAN Cloud – Pinamamahalaan ng Cisco
• Cisco Hosted SD-WAN Cloud – FedRAMP Environment

Ang mga sistemang nakalantad sa pampublikong internet, lalo na iyong mga may bukas na port, ay nahaharap sa mas mataas na panganib ng pagkakompromiso.

Aktibong Pagsasamantala at Aktibidad ng Aktor na Nagbabanta

Kinumpirma ng mga mananaliksik sa seguridad ang aktibong pagsasamantala na nagsimula pa noong 2023. Ang kampanya ay sinusubaybayan sa ilalim ng designasyong UAT-8616, na tinasa bilang isang highly advanced threat cluster. Ipinapahiwatig ng ebidensya na ginamit ng grupo ang zero-day vulnerability na ito upang makapasok sa mga kapaligiran ng Cisco SD-WAN at makakuha ng patuloy na mataas na access.

Kasama sa metodolohiya ng pag-atake ang paglikha ng isang rogue peer na sasali sa SD-WAN management o control plane. Ang malisyosong device na ito ay lumilitaw bilang isang lehitimo ngunit pansamantalang SD-WAN component, na nagbibigay-daan sa mga mapagkakatiwalaang interaksyon sa loob ng management infrastructure.

Kasunod ng unang pagkakompromiso ng isang application na nakaharap sa internet, sinamantala ng mga attacker ang built-in na mekanismo ng pag-update upang i-downgrade ang mga bersyon ng software. Pinapadali ng downgrade na ito ang paggamit ng CVE-2022-20775 (CVSS score: 7.8), isang high-severity privilege escalation flaw sa Cisco SD-WAN Software CLI. Kapag nakuha na ang mga root privilege, ibinabalik ng mga attacker ang sistema sa orihinal nitong bersyon ng software upang mabawasan ang pagtuklas.

Ang mga aksyon pagkatapos ng kompromiso na maiuugnay sa UAT-8616 ay kinabibilangan ng:

• Paglikha ng mga lokal na account ng gumagamit na idinisenyo upang maging katulad ng mga lehitimong account
• Paglalagay ng mga awtorisadong key ng SSH para sa root access at pagbabago ng mga script ng pagsisimula ng SD-WAN

• Paggamit ng NETCONF sa port 830 at SSH para sa lateral movement sa loob ng management plane

• Pagbabago ng log, kabilang ang pagtanggal ng mga file sa ilalim ng /var/log, kasaysayan ng command, at mga talaan ng koneksyon sa network

Ang aktibidad na ito ay sumasalamin sa mas malawak na trend ng mga sopistikadong aktor na nagta-target sa network edge infrastructure upang magtatag ng matibay na pundasyon sa mga kapaligirang may mataas na halaga, kabilang ang mga kritikal na sektor ng imprastraktura.

Patnubay sa Pagtapal at Pag-aayos

Naglabas ang Cisco ng mga pag-aayos sa maraming software train. Ang mga organisasyong nagpapatakbo ng mga vulnerable na bersyon ay dapat mag-upgrade sa mga remediated release, kabilang ang:

• Mga bersyon bago ang 20.9.1: lumipat sa isang nakapirming release
• 20.9: mag-upgrade sa 20.9.8.2
• 20.11.1: mag-upgrade sa 20.12.6.1
• 20.12.5: mag-upgrade sa 20.12.5.3
• 20.12.6: mag-upgrade sa 20.12.6.1
• 20.13.1, 20.14.1, 20.15: mag-upgrade sa 20.15.4.2
• 20.16.1 at 20.18: mag-upgrade sa 20.18.2.1

Bukod sa pag-patch, dapat magsagawa ang mga organisasyon ng forensic validation. Kabilang sa mga inirerekomendang aksyon ang pagsusuri sa /var/log/auth.log file para sa mga entry na tumutukoy sa 'Accepted publickey for vmanage-admin' na nagmumula sa mga hindi kilalang IP address. Anumang kahina-hinalang IP ay dapat i-cross-reference sa mga na-configure na System IP na nakalista sa Cisco Catalyst SD-WAN Manager Web UI sa ilalim ng Devices > System IP.

Para matukoy ang mga potensyal na pag-downgrade o hindi inaasahang mga kaganapan sa pag-reboot, dapat suriin ang mga sumusunod na log file:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Mga Mandato ng Pederal at Tugon sa Regulasyon

Bilang tugon sa kumpirmadong pagsasamantala, idinagdag ng Cybersecurity and Infrastructure Security Agency (CISA) ang parehong CVE-2026-20127 at CVE-2022-20775 sa katalogo nito ng Known Exploited Vulnerabilities (KEV). Kinakailangang ayusin ng mga ahensya ng Federal Civilian Executive Branch ang mga kahinaang ito sa loob ng 24 na oras.

Naglabas din ang CISA ng Emergency Directive 26-03, na pinamagatang 'Bawasan ang mga Kahinaan sa mga Sistema ng Cisco SD-WAN.' Inaatasan ng direktiba ang mga pederal na ahensya na imbentaryo ang lahat ng mga asset ng SD-WAN na nasa saklaw, maglapat ng mga update sa seguridad, at suriin ang mga indikasyon ng kompromiso.

Ang mga deadline ng pagsunod ay nangangailangan ng mga ahensya na:

• Magsumite ng katalogo ng lahat ng nasasakupang SD-WAN system bago ang Pebrero 26, 2026, 11:59 pm ET.
• Magbigay ng detalyadong imbentaryo ng mga apektadong produkto at mga aksyon sa remediation bago ang Marso 5, 2026, 11:59 pm ET.
• Iulat ang lahat ng hakbang sa pagpapatigas ng kapaligiran bago ang Marso 26, 2026, 11:59 pm ET.

Binibigyang-diin ng mga pag-unlad na ito ang agarang pangangailangan para sa proactive patch management, patuloy na pagsubaybay, at depensibong pagpapatibay ng network edge infrastructure upang mabawasan ang mga advanced na persistent threat na tumatarget sa mga SD-WAN environment.