A nemrég felfedezett CVE-2026-20127 azonosítón nyomon követett kritikus súlyosságú (CVSS 10.0) sérülékenység a Cisco Catalyst SD-WAN Controller (korábban vSmart) és a SD-WAN Manager (korábban vManage) rendszereket érinti, amely jelentős kockázatot jelent a vállalati infrastruktúrák számára.
A sebezhetőség lehetővé teszi, hogy egy nem hitelesítetti támadó megkerülje a peering-alapú hitelesítési mechanizmust, és adminisztrátori jogosultságot szerezzen egy magas jogosultsági szinttel rendelkező, de nem root, felhasználói fiókon keresztül. A sérülékenységet 2023 óta aktívan kihasználják. A Cisco a tevékenységet UAT-8616 azonosítón követi, mely során a támadók kifinomult, több lépcsős támadási technikákat alkalmaznak.
Az érintett alkalmazási módok:
- On-Prem alkalmazás
- Cisco hosztolt SD-WAN Cloud
- Cisco hosztolt SD-WAN Cloud – Cisco Managed
- Cisco hosztolt SD-WAN Cloud – FedRAMP Environment
A sérülékenység technikai háttere
A probléma a peering hitelesítési mechanizmus hibás működéséből ered, amely lehetővé teszi egy hamis peer létrehozását a menedzsment- vagy vezérlősíkon. Ennek eredményeként a támadók legitim SD-WAN komponensként jelenhetnek meg, és megbízható műveleteket hajthatnak végre a hálózaton. Ez különösen nagy kockázatot jelent a kritikus infrastruktúrát üzemeltető szervezetek számára.
Javított verziók
A sérülékenységet az alábbi Cisco Catalyst SD-WAN szoftververziókban javították:
- 9.1 előtti verziók (frissítés szükséges javított kiadásra)
- 9 – 20.9.8.2 (várható kiadás: 2026. február 27.)
- 11.1 – 20.12.6.1
- 12.5 – 20.12.5.3
- 12.6 – 20.12.6.1
- 13.1 – 20.15.4.2
- 14.1 – 20.15.4.2
- 15 – 20.15.4.2
- 16.1 – 20.18.2.1
- 18 – 20.18.2.1
A támadás folyamata
A kezdeti hozzáférés megszerzését követően a támadók további lépéseket tettek a tartós jelenlét biztosítása érdekében.
- Helyi felhasználói fiókokat hoztak létre.
- SSH-kulcsokat adtak hozzá root jogosultság megszerzéséhez.
- Módosították az indítási szkripteket.
- NETCONF és SSH protokollokat használtak a menedzsmentsíkon belüli eszközök közötti kommunikációra.
A támadók a beépített frissítési mechanizmust is kihasználták, hogy downgrade-elhessék a szoftververziót, majd a CVE-2022-20775 azonosítón nyomon követett jogosultságkiterjesztési sebezhetőséget kihasználva root szintű hozzáférést szereztek. Ezt követően visszaállították az eredeti szoftververziót. Ezzel a manőverrel jelentősen megnehezítették a kompromittálódás észlelését. Tevékenységük nyomainak eltüntetése érdekében naplófájlokat és parancstörténeti bejegyzéseket is töröltek.
Javasolt intézkedések
A Cisco és a CISA egyaránt hangsúlyozza, hogy az internet felé közvetlenül elérhető SD-WAN Controller rendszerek különösen veszélyeztetettek. Javasolt:
- A /var/log/auth.log hitelesítési naplók ellenőrzése, különös tekintettel az „Accepted publickey for vmanage-admin” bejegyzésekre.
- A naplófájlokban szereplő IP-címek összevetése a Cisco Catalyst SD-WAN Manager felületén (WebUI > Devices > System IP) konfigurált System IP-címekkel.
- A rendszerverziók haladéktalan frissítése a javított kiadásokra.
- A jogosulatlan felhasználói fiókok és SSH-kulcsok felkutatása és törlése.
A CISA a sérülékenységeket felvette a KEV (Known Exploited Vulnerabilities) katalógusába, és 24 órás határidőt írt elő a javítások telepítésére az érintett amerikai szövetségi szervezetek számára.
A Cisco Talos elemzése szerint az UAT-8616 tevékenysége rámutat arra, hogy a támadók egyre gyakrabban célozzák a hálózati peremeszközöket a tartós hozzáférés megszerzése érdekében, beleértve a kritikus infrastruktúrákat is.