Novo zverejnená bezpečnostná chyba s maximálnou závažnosťou v Cisco Catalyst SD-WAN Controller (predtým vSmart) a Catalyst SD-WAN Manager (predtým vManage) je aktívne zneužívaná vo voľnej prírode ako súčasť škodlivej aktivity, ktorá siaha až do roku 2023.
Zraniteľnosť, evidovaná ako CVE-2026-20127 (CVSS skóre: 10.0), umožňuje neautentifikovanému vzdialenému útočníkovi obísť autentifikáciu a získať administrátorské oprávnenia na zasiahnutom systéme odoslaním špeciálne upravenej požiadavky.
Úspešné zneužitie chyby môže umožniť protivníkovi získať zvýšené oprávnenia a prihlásiť sa do systému ako interný, vysoko privilegovaný, ne-root používateľský účet.
„Táto zraniteľnosť existuje, pretože mechanizmus autentifikácie peeringu v zasiahnutom systéme nefunguje správne,“ uviedla spoločnosť Cisco v oznámení, pričom dodala, že aktér hrozby môže využiť ne-root používateľský účet na prístup k NETCONF a manipuláciu so sieťovou konfiguráciou pre SD-WAN fabric.
Zraniteľnosť ovplyvňuje nasledujúce typy nasadenia bez ohľadu na konfiguráciu zariadenia:
On-Prem Deployment
Cisco Hosted SD-WAN Cloud
Cisco Hosted SD-WAN Cloud – Cisco Managed
Cisco Hosted SD-WAN Cloud – FedRAMP Environment
Cisco pripísalo nahlásenie zraniteľnosti Australian Signals Directorate’s Australian Cyber Security Centre (ASD-ACSC). Tento výrobca sieťových zariadení sleduje zneužívanie a následnú aktivitu po kompromitácii pod označením UAT-8616, pričom tento klaster opisuje ako „vysoko sofistikovaného kybernetického aktéra hrozby“.
Zraniteľnosť bola odstránená v nasledujúcich verziách Cisco Catalyst SD-WAN :
Pred verziou 20.91 – Migrujte na opravenú verziu.
Verzia 20.9 – 20.9.8.2
Verzia 20.111 – 20.12.6.1
Verzia 20.12.5 – 20.12.5.3
Verzia 20.12.6 – 20.12.6.1
Verzia 20.131 – 20.15.4.2
Verzia 20.141 – 20.15.4.2
Verzia 20.15 – 20.15.4.2
Verzia 20.161 – 20.18.2.1
Verzia 20.18 – 20.18.2.1
„Systémy Cisco Catalyst SD-WAN Controller, ktoré sú vystavené internetu a majú porty vystavené internetu, sú ohrozené kompromitáciou,“ varovala spoločnosť Cisco.
Spoločnosť tiež odporučila zákazníkom auditovať súbor „/var/log/auth.log“ na záznamy súvisiace s „Accepted publickey for vmanage-admin“ z neznámych alebo neautorizovaných IP adries. Rovnako sa odporúča skontrolovať IP adresy v súbore auth.log voči nakonfigurovaným System IP adresám uvedeným v webovom rozhraní Cisco Catalyst SD-WAN Manager (WebUI > Devices > System IP).
Podľa informácií zverejnených ASD-ACSC mal UAT-8616 kompromitovať Cisco SD-WAN zariadenia od roku 2023 prostredníctvom zero-day exploitu, čo mu umožnilo získať zvýšený prístup.
„Zraniteľnosť umožnila škodlivému kybernetickému aktérovi vytvoriť rogue peer pripojený k rovine správy siete alebo riadiacej rovine SD-WAN organizácie,“ uviedlo ASD-ACSC. „Rogue zariadenie sa javí ako nový, no dočasný komponent SD-WAN kontrolovaný aktérom, ktorý môže vykonávať dôveryhodné operácie v rámci správy a riadiacej roviny.“
Po úspešnej kompromitácii verejne dostupnej aplikácie bolo zistené, že útočníci využili vstavaný mechanizmus aktualizácie na prípravu downgrade verzie softvéru a eskaláciu na používateľa root zneužitím CVE-2022-20775 (CVSS skóre: 7.8), čo je vysoko závažná chyba eskalácie oprávnení v CLI Cisco SD-WAN Software, a následne obnovili softvér späť na pôvodne bežiacu verziu.
Niektoré z následných krokov iniciovaných aktérom hrozby sú nasledovné :
Vytvorili lokálne používateľské účty, ktoré napodobňovali iné lokálne používateľské účty.
Pridali autorizovaný kľúč Secure Shell Protocol (SSH) pre root prístup a upravili štartovacie skripty súvisiace so SD-WAN na prispôsobenie prostredia.
Použili Network Configuration Protocol na porte 830 (NETCONF) a SSH na pripojenie k/medzi Cisco SD-WAN zariadeniami v rámci riadiacej roviny.
Podnikli kroky na odstránenie dôkazov o prieniku vymazaním logov pod „/var/log“, histórie príkazov a histórie sieťových spojení.
„Pokusy UAT-8616 o zneužitie naznačujú pokračujúci trend zameriavania sa kybernetických aktérov hrozieb na sieťové edge zariadenia s cieľom vytvoriť si trvalé oporné body vo vysoko hodnotných organizáciách vrátane sektorov kritickej infraštruktúry (CI),“ uviedol Talos.
Tento vývoj podnietil Cybersecurity and Infrastructure Security Agency (CISA) pridať CVE-2022-20775 aj CVE-2026-20127 do svojho katalógu Known Exploited Vulnerabilities (KEV), pričom federálnym agentúram Federal Civilian Executive Branch (FCEB) nariadil aplikovať opravy v priebehu nasledujúcich 24 hodín.
Na kontrolu downgrade verzií a neočakávaných reštartov CISA odporúča analyzovať nasledujúce logy :
/var/volatile/log/vdebug
/var/log/tmplog/vdebug
/var/volatile/log/sw_script_synccdb.log
CISA tiež vydala novú núdzovú smernicu 26-03: Mitigate Vulnerabilities in Cisco SD-WAN Systems, v rámci ktorej sa od federálnych agentúr vyžaduje inventarizácia SD-WAN zariadení, aplikovanie aktualizácií a posúdenie potenciálnej kompromitácie.
Na tento účel bolo agentúram nariadené poskytnúť katalóg všetkých relevantných SD-WAN systémov vo svojich sieťach do 26. februára 2026 do 23:59 ET. Okrem toho sú povinné predložiť podrobný inventár všetkých relevantných produktov a vykonaných opatrení do 5. marca 2026 do 23:59 ET. Nakoniec musia agentúry do 26. marca 2026 do 23:59 ET predložiť zoznam všetkých krokov prijatých na posilnenie svojho prostredia.
Viac informácií tu:
https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html