SD-WAN CVE-2026-20127 漏洞

思科系統公司 (Cisco Systems) 的 Cisco Catalyst SD-WAN Controller 和 Cisco Catalyst SD-WAN Manager 中發現了一個最高等級的漏洞，漏洞編號為 CVE-2026-20127（CVSS 評分：10.0）。該漏洞允許未經身份驗證的遠端攻擊者透過向易受攻擊的系統發送特製請求來繞過身份驗證控制並獲得管理權限。

這個問題源自於對等身分驗證機制的故障，導致攻擊者能夠以內部高權限非root使用者的身分登入。憑藉這種程度的存取權限，攻擊者可以與NETCONF服務互動並篡改SD-WAN架構配置，從而可能危及企業網路的完整性和可用性。

受影響的部署模型

該漏洞會影響多種部署模型，與配置無關：

• 本地部署
• Cisco 託管 SD-WAN 雲
• Cisco Hosted SD-WAN 雲端 – Cisco 管理
• Cisco 託管 SD-WAN 雲端 – FedRAMP 環境

暴露於公共互聯網的系統，特別是那些具有開放連接埠的系統，面臨顯著更高的安全風險。

主動利用和威脅行為者活動

安全研究人員已確認漏洞自 2023 年起便被積極利用。這次攻擊活動編號為 UAT-8616，並被評估為高度複雜的威脅群集。證據表明，該組織利用此零日漏洞滲透到 Cisco SD-WAN 環境並獲得持續的進階存取權。

攻擊方法包括建立一個加入 SD-WAN 管理或控制平面的惡意對等節點。此惡意裝置偽裝成合法但臨時的 SD-WAN 元件，從而允許在管理基礎架構內進行可信互動。

攻擊者在初步攻破網路導向的應用程式後，利用其內建的更新機制將軟體版本降級。這種降級操作使得攻擊者能夠利用思科 SD-WAN 軟體 CLI 中的高風險權限提升漏洞 CVE-2022-20775（CVSS 評分：7.8）。一旦獲得 root 權限，攻擊者會將系統恢復到原始軟體版本，以最大限度地減少被發現的可能性。

UAT-8616 入侵後採取的行動包括：

• 建立旨在模仿合法帳戶的本機使用者帳戶

這項活動反映了一個更廣泛的趨勢，即老練的行動者瞄準網路邊緣基礎設施，以在高價值環境（包括關鍵基礎設施部門）中建立持久的立足點。

修補和修復指南

思科已在多個軟體版本中發布了修復程式。使用存在漏洞版本的組織必須升級到已修復的版本，包括：

• 20.9.1 之前的版本：請遷移到修復版本
• 20.9：升級到 20.9.8.2
• 20.11.1：升級到 20.12.6.1
• 20.12.5：升級到 20.12.5.3
• 20.12.6：升級到 20.12.6.1
• 20.13.1、20.14.1、20.15：升級到 20.15.4.2
• 20.16.1 和 20.18：升級到 20.18.2.1

除了打補丁之外，組織還應進行取證驗證。建議的操作包括檢查 /var/log/auth.log 檔案中是否存在來自未知 IP 位址的、引用「vmanage-admin 已接受的公鑰」的條目。任何可疑的 IP 位址都應與 Cisco Catalyst SD-WAN Manager Web UI 中「設備」>「系統 IP」下列出的已設定係統 IP 位址進行交叉比對。

為了偵測潛在的降級或意外重新啟動事件，應分析以下日誌檔案：

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

聯邦指令和監管應對

針對已確認的漏洞利用，網路安全和基礎設施安全局 (CISA) 已將 CVE-2026-20127 和 CVE-2022-20775 添加到其已知被利用漏洞 (KEV) 目錄中。聯邦政府行政部門必須在 24 小時內修復這些漏洞。

CISA 也發布了第 26-03 號緊急指令，題為「緩解 Cisco SD-WAN 系統中的漏洞」。該指令要求聯邦機構清點所有範圍內的 SD-WAN 資產，套用安全性更新，並評估是否有入侵跡象。

合規期限要求各機構：

• 請於美國東部時間 2026 年 2 月 26 日晚上 11:59 前提交所有在範圍內的 SD-WAN 系統目錄。
• 請於美國東部時間 2026 年 3 月 5 日晚上 11:59 前提供受影響產品的詳細清單和補救措施。
• 請在 2026 年 3 月 26 日晚上 11:59（美國東部時間）之前報告所有環境加固措施。

這些發展凸顯了主動修補程式管理、持續監控和網路邊緣基礎設施防禦加固的迫切需要，以減輕針對 SD-WAN 環境的進階持續性威脅。