Lỗ hổng bảo mật SD-WAN CVE-2026-20127
Một lỗ hổng bảo mật mức độ nghiêm trọng cao nhất, được theo dõi với mã CVE-2026-20127 (điểm CVSS: 10.0), đã được phát hiện trong Cisco Systems Cisco Catalyst SD-WAN Controller và Cisco Catalyst SD-WAN Manager. Lỗ hổng này cho phép kẻ tấn công từ xa không cần xác thực vượt qua các biện pháp kiểm soát xác thực và giành quyền truy cập quản trị bằng cách gửi một yêu cầu được tạo ra đặc biệt đến hệ thống dễ bị tổn thương.
Vấn đề bắt nguồn từ lỗi trong cơ chế xác thực kết nối ngang hàng, cho phép kẻ tấn công đăng nhập với tư cách người dùng nội bộ có quyền cao nhưng không phải người dùng root. Với mức độ truy cập này, kẻ tấn công có thể tương tác với các dịch vụ NETCONF và thao túng cấu hình mạng SD-WAN, có khả năng làm tổn hại đến tính toàn vẹn và khả năng hoạt động của mạng doanh nghiệp.
Mục lục
Các mô hình triển khai bị ảnh hưởng
Lỗ hổng này ảnh hưởng đến nhiều mô hình triển khai khác nhau, bất kể cấu hình nào:
- Triển khai tại chỗ
- Cisco Hosted SD-WAN Cloud
- Giải pháp SD-WAN đám mây do Cisco cung cấp – Được Cisco quản lý
- Cisco Hosted SD-WAN Cloud – Môi trường FedRAMP
Các hệ thống được kết nối với internet công cộng, đặc biệt là những hệ thống có cổng mở, phải đối mặt với nguy cơ bị xâm nhập cao hơn đáng kể.
Hoạt động khai thác tích cực và hoạt động của các tác nhân đe dọa
Các nhà nghiên cứu bảo mật đã xác nhận việc khai thác lỗ hổng này từ năm 2023. Chiến dịch này đang được theo dõi với mã định danh UAT-8616, được đánh giá là một cụm mối đe dọa cực kỳ nguy hiểm. Bằng chứng cho thấy nhóm này đã lợi dụng lỗ hổng zero-day này để xâm nhập vào môi trường Cisco SD-WAN và giành quyền truy cập cao cấp liên tục.
Phương pháp tấn công bao gồm việc tạo ra một thiết bị giả mạo tham gia vào mặt phẳng quản lý hoặc điều khiển SD-WAN. Thiết bị độc hại này xuất hiện như một thành phần SD-WAN hợp pháp nhưng tạm thời, cho phép tương tác đáng tin cậy trong cơ sở hạ tầng quản lý.
Sau khi xâm nhập thành công vào một ứng dụng kết nối internet, tin tặc đã lợi dụng cơ chế cập nhật tích hợp để hạ cấp phiên bản phần mềm. Việc hạ cấp này tạo điều kiện cho việc khai thác lỗ hổng CVE-2022-20775 (điểm CVSS: 7.8), một lỗ hổng leo thang đặc quyền nghiêm trọng trong giao diện dòng lệnh phần mềm Cisco SD-WAN. Sau khi có được quyền root, tin tặc khôi phục hệ thống về phiên bản phần mềm ban đầu để giảm thiểu khả năng bị phát hiện.
Các hành động sau khi bị xâm nhập được cho là do lỗ hổng UAT-8616 gây ra bao gồm:
- Tạo tài khoản người dùng cục bộ được thiết kế để giống với các tài khoản hợp lệ.
- Chèn khóa SSH được ủy quyền để truy cập quyền root và sửa đổi các tập lệnh khởi động SD-WAN.
- Sử dụng NETCONF qua cổng 830 và SSH để di chuyển ngang trong mặt phẳng quản trị.
- Hành vi can thiệp vào nhật ký hệ thống, bao gồm xóa các tệp trong thư mục /var/log, lịch sử lệnh và bản ghi kết nối mạng.
Hoạt động này phản ánh xu hướng rộng hơn của các tác nhân tinh vi nhắm mục tiêu vào cơ sở hạ tầng mạng biên để thiết lập chỗ đứng vững chắc trong các môi trường có giá trị cao, bao gồm các lĩnh vực cơ sở hạ tầng trọng yếu.
Hướng dẫn vá lỗi và khắc phục sự cố
Cisco đã phát hành các bản vá lỗi trên nhiều dòng phần mềm khác nhau. Các tổ chức đang sử dụng các phiên bản dễ bị tổn thương phải nâng cấp lên các phiên bản đã được khắc phục, bao gồm:
- Các phiên bản trước 20.9.1: hãy chuyển sang bản phát hành đã sửa lỗi.
- 20.9: nâng cấp lên 20.9.8.2
- 20.11.1: Nâng cấp lên 20.12.6.1
- 20.12.5: nâng cấp lên 20.12.5.3
- 20.12.6: nâng cấp lên phiên bản 20.12.6.1
- 20.13.1, 20.14.1, 20.15: nâng cấp lên 20.15.4.2
- 20.16.1 và 20.18: nâng cấp lên 20.18.2.1
Ngoài việc vá lỗi, các tổ chức nên tiến hành xác thực pháp y. Các hành động được khuyến nghị bao gồm xem xét tệp /var/log/auth.log để tìm các mục tham chiếu đến 'Accepted publickey for vmanage-admin' có nguồn gốc từ các địa chỉ IP không xác định. Bất kỳ địa chỉ IP đáng ngờ nào cũng nên được đối chiếu với các địa chỉ IP hệ thống đã được cấu hình được liệt kê trong giao diện người dùng web của Cisco Catalyst SD-WAN Manager tại mục Thiết bị > IP hệ thống.
Để phát hiện các sự kiện hạ cấp hoặc khởi động lại đột ngột tiềm ẩn, cần phân tích các tệp nhật ký sau:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
Các chỉ thị của liên bang và phản ứng pháp lý
Để đối phó với việc khai thác lỗ hổng đã được xác nhận, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã bổ sung cả hai lỗ hổng CVE-2026-20127 và CVE-2022-20775 vào danh mục Lỗ hổng bị khai thác đã biết (KEV). Các cơ quan thuộc nhánh hành pháp dân sự liên bang được yêu cầu khắc phục các lỗ hổng này trong vòng 24 giờ.
CISA cũng đã ban hành Chỉ thị khẩn cấp 26-03, có tiêu đề "Giảm thiểu các lỗ hổng trong hệ thống Cisco SD-WAN". Chỉ thị này yêu cầu các cơ quan liên bang phải lập danh mục tất cả các tài sản SD-WAN thuộc phạm vi điều chỉnh, áp dụng các bản cập nhật bảo mật và đánh giá các dấu hiệu bị xâm phạm.
Các thời hạn tuân thủ yêu cầu các cơ quan phải:
- Hãy gửi danh mục tất cả các hệ thống SD-WAN thuộc phạm vi áp dụng trước 23:59 ngày 26 tháng 2 năm 2026 (giờ ET).
- Cung cấp danh sách chi tiết các sản phẩm bị ảnh hưởng và các biện pháp khắc phục trước 23:59 ngày 5 tháng 3 năm 2026 (giờ miền Đông).
- Báo cáo tất cả các biện pháp tăng cường khả năng chống chịu môi trường trước 23:59 ngày 26 tháng 3 năm 2026 (giờ ET).
Những diễn biến này nhấn mạnh nhu cầu cấp thiết về quản lý bản vá chủ động, giám sát liên tục và tăng cường khả năng phòng thủ của cơ sở hạ tầng mạng biên để giảm thiểu các mối đe dọa dai dẳng nâng cao nhắm vào môi trường SD-WAN.
