Компания Cisco предупреждает об активно эксплуатируемой уязвимости нулевого дня в Cisco Catalyst SD-WAN, отслеживаемой как CVE-2026-20127, которая позволяет удаленным злоумышленникам обойти аутентификацию, скомпрометировать контроллеры и добавлять вредоносных нелегитимных пиров в целевые сети.
CVE-2026-20127 имеет максимальный уровень критичности 10.0 и затрагивает Cisco Catalyst SD-WAN Controller (ранее vSmart) и Cisco Catalyst SD-WAN Manager (ранее vManage) как в локальных, так и в облачных установках SD-WAN.
Cisco выразила благодарность Австралийскому центру кибербезопасности (ACSC) при Управлении сигналов Австралии (ASD) за сообщение об уязвимости.
В консультативном уведомлении, опубликованном сегодня, Cisco заявила, что проблема связана с механизмом аутентификации пиринга, который «работает некорректно».
«Эта уязвимость существует, поскольку механизм аутентификации пиринга в затронутой системе работает некорректно. Злоумышленник может использовать эту уязвимость, отправляя специально сформированные запросы в затронутую систему», — говорится в консультативном уведомлении Cisco по CVE-2026-20127.
«Успешная эксплуатация может позволить злоумышленнику войти в затронутый Cisco Catalyst SD-WAN Controller под учетной записью внутреннего пользователя с высокими привилегиями, но не root. Используя эту учетную запись, злоумышленник может получить доступ к NETCONF, что затем позволит ему манипулировать сетевой конфигурацией для SD-WAN fabric».
Cisco Catalyst SD-WAN — это программно-определяемая сетевая платформа, которая соединяет филиалы, центры обработки данных и облачные среды через централизованно управляемую систему. Она использует контроллер для безопасной маршрутизации трафика между узлами по зашифрованным соединениям.
Добавляя нелегитимного пира, злоумышленник может внедрить вредоносное устройство в среду SD-WAN, которое выглядит как легитимное. Это устройство затем может устанавливать зашифрованные соединения и анонсировать сети, находящиеся под контролем злоумышленника, что потенциально позволяет ему глубже проникнуть в сеть организации.
В отдельном уведомлении от Cisco Talos сообщается, что уязвимость активно эксплуатировалась в атаках, и эта вредоносная активность отслеживается под кодовым названием «UAT-8616», которую аналитики с высокой степенью уверенности связывают с высококвалифицированным злоумышленником.
Talos сообщает, что их телеметрия показывает, что эксплуатация началась как минимум в 2023 году, при этом партнеры по разведке утверждают, что злоумышленник, вероятно, получил права root путем понижения версии до более старой версии программного обеспечения, используя CVE-2022-20775 для получения доступа root, а затем восстанавливая исходную версию прошивки.
Возвращаясь к исходной версии после эксплуатации, злоумышленник мог получить права root, избегая обнаружения.
Эксплуатация была раскрыта в скоординированных уведомлениях между Cisco и властями США и Великобритании.
25 февраля 2026 года CISA выпустила Директиву экстренного реагирования 26-03, требующую от федеральных гражданских исполнительных агентств провести инвентаризацию систем Cisco SD-WAN, собрать криминалистические артефакты, обеспечить внешнее хранение журналов, применить обновления и расследовать возможные компрометации, связанные с CVE-2026-20127 и CVE-2022-20775.
CISA заявила, что эксплуатация представляет собой неминуемую угрозу для федеральных сетей, и устройства должны быть пропатчены к 17:00 по восточному времени 27 февраля 2026 года.
Совместное руководство по поиску угроз и усилению защиты от CISA и Национального центра кибербезопасности Великобритании предупредило, что злоумышленники нацелены на развертывания Cisco Catalyst SD-WAN по всему миру с целью добавления нелегитимных пиров, а затем проведения последующих действий для достижения прав root и сохранения постоянного контроля.
В уведомлениях подчеркивается, что интерфейсы управления SD-WAN никогда не должны быть доступны из интернета, и организациям настоятельно рекомендуется немедленно обновить и укрепить затронутые системы.
«Наше новое предупреждение ясно дает понять, что организации, использующие продукты Cisco Catalyst SD-WAN, должны срочно расследовать свою подверженность компрометации сети и искать вредоносную активность, используя новые рекомендации по поиску угроз, разработанные совместно с нашими международными партнерами для выявления признаков компрометации», — заявил технический директор NCSC Олли Уайтхаус в заявлении, распространенном BleepingComputer.
«Организациям в Великобритании настоятельно рекомендуется сообщать о компрометациях в NCSC, а также применять обновления от поставщика и рекомендации по усилению защиты в кратчайшие сроки, чтобы снизить риск эксплуатации».
Cisco выпустила обновления программного обеспечения для устранения уязвимости и заявляет, что обходных путей, полностью устраняющих проблему, не существует.
Индикаторы компрометации
Cisco и Talos настоятельно призывают организации тщательно просматривать журналы на любых системах Catalyst SD-WAN Controller, доступных из интернета, на предмет признаков несанкционированных событий пиринга и подозрительной активности аутентификации.
Компания рекомендует администраторам проверить /var/log/auth.log на наличие записей, показывающих “Accepted publickey for vmanage-admin” с неизвестных IP-адресов:
2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]Администраторы должны сопоставить эти IP-адреса с настроенными системными IP-адресами, перечисленными в интерфейсе SD-WAN Manager, и с известной инфраструктурой управления или контроллерами. Если неизвестный IP-адрес успешно прошел аутентификацию, администраторы должны считать свои устройства скомпрометированными и открыть обращение в Cisco TAC.
Talos и правительственные уведомления предоставили дополнительные индикаторы компрометации, включая создание и удаление вредоносных учетных записей пользователей, неожиданные входы в систему под root, несанкционированные SSH-ключи в учетных записях vmanage-admin или root, а также изменения, разрешающие PermitRootLogin.
Администраторам также следует искать необычно маленькие или отсутствующие файлы журналов, что может указывать на подделку журналов, а также на понижение версий программного обеспечения и перезагрузки, что может указывать на эксплуатацию CVE-2022-20775 для получения привилегий root.
Для проверки эксплуатации CVE-2022-20775 CISA рекомендует анализировать следующие журналы:
/var/volatile/log/vdebug
/var/log/tmplog/vdebug
/var/volatile/log/sw_script_synccdb.log Руководство CISA по поиску угроз и усилению защиты предписывает организациям собирать криминалистические артефакты, включая дампы памяти администратора (admin core dumps) и домашние каталоги пользователей, а также обеспечивать внешнее хранение журналов для предотвращения их подделки.
Если учетная запись root была скомпрометирована, агентствам следует выполнять чистую установку, а не пытаться очистить существующую инфраструктуру.
Организации также должны рассматривать неожиданные события пиринга или необъяснимую активность контроллера как потенциальные индикаторы компрометации и немедленно расследовать их.
И CISA, и NCSC Великобритании рекомендуют ограничивать доступ к сети, размещать компоненты управления SD-WAN за брандмауэрами, изолировать интерфейсы управления, перенаправлять журналы на внешние системы и применять рекомендации Cisco по усилению защиты.
Cisco настоятельно рекомендует обновиться до исправленной версии программного обеспечения как единственный способ полностью устранить CVE-2026-20127.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
