SD-WAN CVE-2026-20127 漏洞
思科系统公司 (Cisco Systems) 的 Cisco Catalyst SD-WAN Controller 和 Cisco Catalyst SD-WAN Manager 中发现了一个最高级别的漏洞,漏洞编号为 CVE-2026-20127(CVSS 评分:10.0)。该漏洞允许未经身份验证的远程攻击者通过向易受攻击的系统发送特制请求来绕过身份验证控制并获得管理权限。
该问题源于对等身份验证机制的故障,导致攻击者能够以内部高权限非root用户的身份登录。凭借这种级别的访问权限,攻击者可以与NETCONF服务交互并篡改SD-WAN架构配置,从而可能危及企业网络的完整性和可用性。
目录
受影响的部署模型
该漏洞会影响多种部署模型,与配置无关:
- 本地部署
- Cisco 托管 SD-WAN 云
- Cisco Hosted SD-WAN 云 – Cisco 管理
- Cisco 托管 SD-WAN 云 – FedRAMP 环境
暴露于公共互联网的系统,特别是那些具有开放端口的系统,面临着显著更高的安全风险。
主动利用和威胁行为者活动
安全研究人员已确认该漏洞自 2023 年起便被积极利用。此次攻击活动被编号为 UAT-8616,并被评估为高度复杂的威胁集群。证据表明,该组织利用此零日漏洞渗透到 Cisco SD-WAN 环境并获得持续的高级访问权限。
攻击方法包括创建一个加入 SD-WAN 管理或控制平面的恶意对等节点。该恶意设备伪装成合法但临时的 SD-WAN 组件,从而允许在管理基础架构内进行可信交互。
攻击者在初步攻破面向互联网的应用程序后,利用其内置的更新机制将软件版本降级。这种降级操作使得攻击者能够利用思科 SD-WAN 软件 CLI 中的高危权限提升漏洞 CVE-2022-20775(CVSS 评分:7.8)。一旦获得 root 权限,攻击者会将系统恢复到原始软件版本,以最大限度地减少被发现的可能性。
UAT-8616 入侵后采取的行动包括:
- 创建旨在模仿合法帐户的本地用户帐户
这一活动反映了一个更广泛的趋势,即老练的行动者瞄准网络边缘基础设施,以在高价值环境(包括关键基础设施部门)中建立持久的立足点。
修补和修复指南
思科已在多个软件版本中发布了修复程序。使用存在漏洞版本的组织必须升级到已修复的版本,包括:
- 20.9.1 之前的版本:请迁移到修复版本
- 20.9:升级到 20.9.8.2
- 20.11.1:升级到 20.12.6.1
- 20.12.5:升级到 20.12.5.3
- 20.12.6:升级到 20.12.6.1
- 20.13.1、20.14.1、20.15:升级到 20.15.4.2
- 20.16.1 和 20.18:升级到 20.18.2.1
除了打补丁之外,组织还应进行取证验证。建议的操作包括检查 /var/log/auth.log 文件中是否存在来自未知 IP 地址的、引用“vmanage-admin 已接受的公钥”的条目。任何可疑的 IP 地址都应与 Cisco Catalyst SD-WAN Manager Web UI 中“设备”>“系统 IP”下列出的已配置系统 IP 地址进行交叉比对。
为了检测潜在的降级或意外重启事件,应分析以下日志文件:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
联邦指令和监管应对
针对已确认的漏洞利用,网络安全和基础设施安全局 (CISA) 已将 CVE-2026-20127 和 CVE-2022-20775 添加到其已知被利用漏洞 (KEV) 目录中。联邦政府行政部门必须在 24 小时内修复这些漏洞。
CISA 还发布了第 26-03 号紧急指令,题为“缓解 Cisco SD-WAN 系统中的漏洞”。该指令要求联邦机构清点所有范围内的 SD-WAN 资产,应用安全更新,并评估是否存在入侵迹象。
合规期限要求各机构:
- 请于美国东部时间 2026 年 2 月 26 日晚上 11:59 前提交所有在范围内的 SD-WAN 系统目录。
- 请于美国东部时间 2026 年 3 月 5 日晚上 11:59 前提供受影响产品的详细清单和补救措施。
- 请在 2026 年 3 月 26 日晚上 11:59(美国东部时间)之前报告所有环境加固措施。
这些发展凸显了主动补丁管理、持续监控和网络边缘基础设施防御加固的迫切需要,以减轻针对 SD-WAN 环境的高级持续性威胁。
