Национальный центр кибербезопасности Великобритании (NCSC) и его партнерские агентства из англоязычной группы по обмену разведданными «Пять глаз» предупредили пользователей программно-конфигурируемых глобальных сетей (SD-WAN) Cisco Catalyst о необходимости принять немедленные меры после выявления кластера угроз, нацеленных на широко используемые продукты. Активность, по-видимому, носит неизбирательный характер, но modus operandi в основном одинаков: после компрометации пока не названные злоумышленники добавляют вредоносного неавторизованного пира, а затем предпринимают последующие действия для получения прав root и сохранения постоянного доступа к сети жертвы. «Наше новое предупреждение ясно дает понять, что организации, использующие продукты Cisco Catalyst SD-WAN, должны срочно изучить свою подверженность компрометации сети и искать вредоносную активность, используя новые рекомендации по поиску угроз, разработанные совместно с нашими международными партнерами для выявления следов компрометации», — заявил технический директор (CTO) NCSC Олли Уайтхаус. «Организациям в Великобритании настоятельно рекомендуется сообщать о компрометациях в NCSC, а также как можно скорее применять обновления от поставщика и руководства по усилению защиты для снижения риска эксплуатации», — добавил он. NCSC сообщил, что сама активность, по-видимому, началась еще в 2023 году, и серия уязвимостей в Catalyst SD-WAN Manager и Catalyst SD-WAN Controller теперь устранена Cisco. Главной из этих проблем, вызывающей наибольшую озабоченность у Cisco, является CVE-2026-20127 — уязвимость обхода аутентификации в Catalyst SD-WAN. В консультативном уведомлении Cisco заявила, что уязвимость возникла из-за сбоя механизма аутентификации пиринга в затронутой системе. «Злоумышленник может использовать эту уязвимость, отправляя специально сформированные запросы на затронутую систему. Успешная эксплуатация может позволить злоумышленнику войти в затронутый контроллер Cisco Catalyst SD-WAN в качестве внутреннего, высокопривилегированного пользователя, не являющегося пользователем root. Используя эту учетную запись, злоумышленник может получить доступ к NETCONF, что затем позволит злоумышленнику изменять конфигурацию сети для SD-WAN fabric», — говорится в сообщении поставщика. «Cisco выпустила обновления программного обеспечения, устраняющие эту уязвимость. Обходных путей для устранения этой уязвимости не существует». Организации, чьи интерфейсы управления доступны из публичного интернета, по-видимому, подвергаются наибольшему риску компрометации — предоставление доступа к интерфейсам управления из интернета крайне не рекомендуется. Помимо проведения поиска угроз на предмет доказательств компрометации, как указано в недавно опубликованном Руководстве по поиску угроз — доступном здесь — команды безопасности должны немедленно обновиться до соответствующих исправленных последних версий Catalyst SD-WAN Manager и Controller, а также применить Руководство по усилению защиты Cisco Catalyst SD-WAN, которое теперь доступно у Cisco. Организациям в Великобритании, обнаружившим возможную компрометацию, рекомендуется немедленно собрать артефакты с соответствующего устройства и сообщить об этом в NCSC. В США Агентство по кибербезопасности и защите инфраструктуры (Cisa) выпустило параллельную экстренную директиву, предписывающую государственным организациям принять меры к 23:59 EST (04:59 GMT) в четверг, 26 февраля, и полностью применить исправления к 17:00 EST в пятницу.
Злоумышленник нацеливается на операторов КНС
Тем временем подразделение анализа угроз Cisco Talos отслеживает активную эксплуатацию CVE-2026-20127 и присвоило кластеру обозначение UAT-8616. Talos заявило, что уверено в том, что UAT-8616 является «высококвалифицированным киберугрожающим актором», учитывая исторический масштаб его деятельности, восходящей к 2023 году, и дополнительное расследование, которое показало, что хакеры, вероятно, получили права root путем понижения версии программного обеспечения, а затем эксплуатации другого недостатка — CVE-2022-20775 — в интерфейсе командной строки (CLI) программного обеспечения Catalyst, прежде чем вернуться к исходной версии. Talos сообщило, что UAT-8616 демонстрирует продолжающуюся тенденцию нацеливания на периферийные сетевые устройства с целью создания плацдармов в организациях с высокой ценностью, таких как операторы критической национальной инфраструктуры (КНС). Хотя прямое приписывание активности не было сделано, нацеливание на коммунальные службы и аналогичные организации может указывать на то, что UAT-8616 поддерживается государством.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
