Критична грешка во Cisco SD-WAN се злоупотребува во zero-day напади уште од 2023 година

Cisco Systems предупредува дека критична ранливост за заобиколување на автентикација во Cisco Catalyst SD-WAN, означена како CVE-2026-20127, била активно злоупотребувана во zero-day напади кои им овозможувале на оддалечени напаѓачи да компромитираат контролери и да додаваат злонамерни „rogue“ peer уреди во таргетираните мрежи.

CVE-2026-20127 има максимална сериозност од 10.0 и ги засега Cisco Catalyst SD-WAN Controller (поранешен vSmart) и Cisco Catalyst SD-WAN Manager (поранешен vManage) во on-prem и SD-WAN Cloud инсталации.

Cisco му оддаде признание на Australian Cyber Security Centre (ACSC), дел од Australian Signals Directorate (ASD), за пријавувањето на ранливоста. Во советодавното соопштение објавено денес, Cisco наведе дека проблемот произлегува од механизам за автентикација на peer врски кој „не функционира правилно“.

„Оваа ранливост постои затоа што механизмот за автентикација на peer врски во погодениот систем не функционира правилно. Напаѓач може да ја искористи оваа ранливост со испраќање специјално креирани барања кон погодениот систем“, се вели во советувањето за CVE-2026-20127 од Cisco.

„Успешна експлоатација може да му овозможи на напаѓачот да се најави на погодениот Cisco Catalyst SD-WAN Controller како внатрешен корисник со високи привилегии (но без root пристап). Со овој профил, напаѓачот може да пристапи до NETCONF, што потоа му овозможува да ја манипулира мрежната конфигурација на SD-WAN инфраструктурата.“

Cisco Catalyst SD-WAN е софтверска мрежна платформа која ги поврзува филијалите, дата-центрите и cloud околините преку централно управуван систем. Таа користи контролер за безбедно рутирање на сообраќајот меѓу локациите преку енкриптирани врски.

Со додавање на „rogue“ peer, напаѓачот може да внесе злонамерен уред во SD-WAN околината кој изгледа легитимен. Тој уред потоа може да воспостави енкриптирани врски и да рекламира мрежи под контрола на напаѓачот, што потенцијално им овозможува подлабоко навлегување во мрежата на организацијата.

Одделно советување од Cisco Talos наведува дека ранливоста била активно злоупотребувана и ја следи злонамерната активност под ознаката „UAT-8616“, за која со висок степен на сигурност се проценува дека е извршена од високо софистициран актер на закани.

Talos известува дека нивната телеметрија покажува експлоатација уште од најмалку 2023 година, а разузнавачки партнери наведуваат дека заканувачот веројатно ескалирал до root пристап со враќање на постара верзија на софтверот, злоупотребувајќи ја CVE-2022-20775 за да добие root пристап, а потоа повторно ја инсталирал оригиналната верзија на firmware.

Со враќање на оригиналната верзија по експлоатацијата, напаѓачот можел да задржи root пристап додека истовремено избегнува детекција.

Експлоатацијата беше објавена преку координирани соопштенија меѓу Cisco и властите на САД и Обединетото Кралство.

На 25 февруари 2026 година, Cybersecurity and Infrastructure Security Agency (CISA) издаде Emergency Directive 26-03 со која се бара од федералните цивилни извршни агенции да направат инвентар на Cisco SD-WAN системите, да соберат форензички артефакти, да обезбедат надворешно складирање на логови, да применат ажурирања и да истражат потенцијални компромитации поврзани со CVE-2026-20127 и CVE-2022-20775.

CISA соопшти дека експлоатацијата претставува непосредна закана за федералните мрежи и дека уредите мора да бидат ажурирани до 17:00 часот (ET) на 27 февруари 2026 година.

Заеднички водич за „hunt and hardening“ од CISA и National Cyber Security Centre (NCSC) предупредува дека злонамерни актери глобално ги таргетираат Cisco Catalyst SD-WAN имплементациите со цел додавање „rogue“ peer уреди, по што спроведуваат дополнителни активности за добивање root пристап и одржување трајна контрола.

Во соопштенијата се нагласува дека интерфејсите за управување со SD-WAN никогаш не смеат да бидат изложени на интернет и се повикуваат организациите веднаш да ги ажурираат и зајакнат погодените системи.

„Нашето ново предупредување јасно укажува дека организациите кои користат Cisco Catalyst SD-WAN производи треба итно да ја истражат својата изложеност на мрежна компромитација и да спроведат лов на закани, користејќи ги новите насоки изработени со меѓународните партнери за идентификување докази за компромитација“, изјави Ollie Whitehouse, технички директор на NCSC, во изјава споделена со BleepingComputer.

„Организациите во Обединетото Кралство силно се советуваат да ги пријават компромитациите до NCSC и да ги применат ажурирањата и безбедносните насоки од производителот што е можно поскоро, со цел да се намали ризикот од злоупотреба.“

Cisco објави софтверски ажурирања за решавање на ранливоста и наведува дека не постојат привремени решенија што целосно го ублажуваат проблемот.

Индикатори на компромитација

Cisco Systems и Cisco Talos ги повикуваат организациите внимателно да ги прегледаат логовите на сите интернет-изложени Catalyst SD-WAN Controller системи за знаци на неовластени peering настани и сомнителна активност при автентикација.

Компанијата им препорачува на администраторите да го ревидираат фајлот /var/log/auth.log за записи што прикажуваат „Accepted publickey for vmanage-admin“ од непознати IP адреси.

2026-02-10T22:51:36+00:00 vm  sshd[804]: Accepted publickey for vmanage-admin from  port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]

Администраторите треба да ги споредат тие IP адреси со конфигурираните System IP адреси наведени во интерфејсот на SD-WAN Manager, како и со познатата менаџмент или контролер инфраструктура. Доколку непозната IP адреса успешно се автентикирала, администраторите треба да сметаат дека уредите се компромитирани и да отворат случај со Cisco TAC.

Cisco Talos и владините советувања споделија дополнителни индикатори на компромитација, вклучувајќи создавање и бришење на злонамерни кориснички сметки, неочекувани root најавувања, неовластени SSH клучеви во vmanage-admin или root сметките, како и промени што го овозможуваат PermitRootLogin.

Администраторите исто така треба да внимаваат на невообичаено мали или исчезнати лог-датотеки, што може да укажува на манипулација со логовите, како и на downgrade на софтвер и рестартирања, што може да укажува на злоупотреба на CVE-2022-20775 за добивање root привилегии.

За проверка на експлоатација на CVE-2022-20775, Cybersecurity and Infrastructure Security Agency (CISA) препорачува анализа на следните логови:

/var/volatile/log/vdebug
/var/log/tmplog/vdebug
/var/volatile/log/sw_script_synccdb.log 

Водичот за „hunt and hardening“ на Cybersecurity and Infrastructure Security Agency (CISA) им наложува на организациите да соберат форензички артефакти, вклучувајќи admin core dump датотеки и кориснички home директориуми, како и да обезбедат логовите да се складираат надворешно за да се спречи манипулација.

Доколку root сметката била компромитирана, агенциите треба да имплементираат целосно нови инсталации наместо да се обидуваат да ја „исчистат“ постојната инфраструктура.

Организациите исто така треба да ги третираат неочекуваните peering настани или необјаснета активност на контролерот како потенцијални индикатори на компромитација и веднаш да ги истражат.

И CISA и National Cyber Security Centre (NCSC) препорачуваат ограничување на мрежната изложеност, поставување на SD-WAN контролните компоненти зад firewall, изолирање на менаџмент интерфејсите, препраќање на логовите кон надворешни системи и примена на безбедносните насоки (hardening) од Cisco Systems.

Cisco силно препорачува надградба на софтверска верзија што ја содржи поправката како единствен начин за целосно отстранување на CVE-2026-20127.

Извори:

• Bleeping Computer – Critical Cisco SD-WAN bug exploited in zero-day attacks since 2023 Bleeping Computer