Вразливість SD-WAN CVE-2026-20127

У контролері Cisco Catalyst SD-WAN та Cisco Catalyst SD-WAN Manager виявлено вразливість максимальної серйозності, яка відстежується як CVE-2026-20127 (оцінка CVSS: 10.0). Ця вразливість дозволяє неавтентифікованому віддаленому зловмиснику обійти засоби контролю автентифікації та отримати адміністративний доступ, надіславши спеціально сформований запит до вразливої системи.

Проблема виникає через збій у механізмі автентифікації через піринг, що дозволяє зловмиснику входити в систему як внутрішній користувач з високими привілеями (не root). Маючи такий рівень доступу, зловмисники можуть взаємодіяти зі службами NETCONF та маніпулювати конфігураціями структури SD-WAN, що потенційно може поставити під загрозу цілісність та доступність корпоративних мереж.

Моделі розгортання, на які це впливає

Ця вразливість впливає на кілька моделей розгортання, незалежно від конфігурації:

• Локальні розгортання
• Хмара SD-WAN, що розміщується на Cisco
• Хмара SD-WAN, що розміщується на Cisco – керована Cisco
• Хмара SD-WAN, розміщена на Cisco – середовище FedRAMP

Системи, що підключені до публічного Інтернету, особливо ті, що мають відкриті порти, стикаються зі значно підвищеним ризиком компрометації.

Активна експлуатація та діяльність злоумышленників

Дослідники з безпеки підтвердили активну експлуатацію, яка датується 2023 роком. Кампанія відстежується під позначенням UAT-8616, оцінюється як високорозвинений кластер загроз. Дані свідчать про те, що група використала цю вразливість нульового дня для проникнення в середовища Cisco SD-WAN та отримання постійного підвищеного доступу.

Методологія атаки включає створення зловмисного вузла, який приєднується до площини управління або контролю SD-WAN. Цей шкідливий пристрій виглядає як легітимний, але тимчасовий компонент SD-WAN, що забезпечує довірену взаємодію в межах інфраструктури управління.

Після початкової компрометації інтернет-застосунку зловмисники використали вбудований механізм оновлення для зниження версії програмного забезпечення. Це зниження версії сприяє використанню CVE-2022-20775 (оцінка CVSS: 7.8) – вразливості високого рівня ескалації привілеїв у інтерфейсі командного рядка програмного забезпечення Cisco SD-WAN. Після отримання root-прав зловмисники відновлюють систему до початкової версії програмного забезпечення, щоб мінімізувати виявлення.

Дії після компрометації, що приписуються UAT-8616, включають:

• Створення локальних облікових записів користувачів, розроблених так, щоб вони імітували легітимні облікові записи
• Вставка авторизованих ключів SSH для root-доступу та модифікація сценаріїв запуску SD-WAN

• Використання NETCONF через порт 830 та SSH для горизонтального переміщення в межах площини управління

• Зміна журналу, включаючи видалення файлів у /var/log, історії команд та записів мережевого підключення

Ця діяльність відображає ширшу тенденцію, коли складні гравці орієнтуються на інфраструктуру периферії мережі, щоб створити міцні опорні точки у високоцінних середовищах, включаючи сектори критичної інфраструктури.

Керівництво з виправлення та відновлення

Cisco випустила виправлення для кількох програмних ліній. Організації, які використовують вразливі версії, повинні оновитися до виправлених версій, зокрема:

• Версії до 20.9.1: перехід на виправлений випуск
• 20.9: оновлення до 20.9.8.2
• 20.11.1: оновлення до 20.12.6.1
• 20.12.5: оновлення до 20.12.5.3
• 20.12.6: оновлення до 20.12.6.1
• 20.13.1, 20.14.1, 20.15: оновлення до 20.15.4.2
• 20.16.1 та 20.18: оновлення до 20.18.2.1

Окрім встановлення виправлень, організації повинні проводити судово-медичну перевірку. Рекомендовані дії включають перевірку файлу /var/log/auth.log на наявність записів, що посилаються на «Accepted publickey for vmanage-admin», що походять з невідомих IP-адрес. Будь-які підозрілі IP-адреси слід зіставити з налаштованими системними IP-адресами, переліченими у веб-інтерфейсі Cisco Catalyst SD-WAN Manager у розділі «Пристрої» > «Системна IP-адреса».

Щоб виявити потенційне зниження версії або неочікувані події перезавантаження, слід проаналізувати такі файли журналів:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Федеральні мандати та регуляторні заходи

У відповідь на підтверджену експлуатацію, Агентство з кібербезпеки та безпеки інфраструктури (CISA) додало CVE-2026-20127 та CVE-2022-20775 до свого каталогу відомих експлуатованих вразливостей (KEV). Федеральні цивільні установи виконавчої гілки влади зобов'язані усунути ці вразливості протягом 24 годин.

CISA також видала Директиву про надзвичайні ситуації 26-03 під назвою «Усунення вразливостей у системах Cisco SD-WAN». Директива зобов’язує федеральні агентства інвентаризувати всі активи SD-WAN, що входять до сфери дії, застосовувати оновлення безпеки та оцінювати наявність ознак компрометації.

Терміни дотримання вимог вимагають від установ:

• Надішліть каталог усіх систем SD-WAN, що охоплюються цією діяльністю, до 26 лютого 2026 року, 23:59 за східним часом.
• Надайте детальний перелік продуктів, на які поширюється дія, та заходи щодо усунення недоліків до 5 березня 2026 року, 23:59 за східним часом.
• Повідомте про всі заходи щодо посилення навколишнього середовища до 26 березня 2026 року, 23:59 за східним часом.

Ці події підкреслюють нагальну потребу в проактивному управлінні виправленнями, постійному моніторингу та захисному зміцненні граничної інфраструктури мережі для зменшення впливу передових постійних загроз, спрямованих на середовища SD-WAN.