Агентства по кибербезопасности стран альянса «Пять глаз» выпустили экстренное предписание, предупреждающее об активной эксплуатации критической уязвимости в Cisco SD-WAN для несанкционированного доступа к федеральным сетям.
Официальные лица подтвердили, что злоумышленники нацелены на основные системы управления SD-WAN — инфраструктуру, которая управляет трафиком в государственных и корпоративных сетях, — и настоятельно призвали организации немедленно установить исправления на затронутые устройства.
Группа по разведке угроз Talos компании Cisco сообщила, что злоумышленники используют ранее неизвестную уязвимость, затрагивающую контроллеры Cisco Catalyst SD-WAN, отслеживаемую как CVE-2026-20127. Эта уязвимость позволяет неаутентифицированному злоумышленнику обойти механизмы аутентификации и получить доступ уровня администратора к компонентам плоскости управления уязвимых SD-WAN.
Talos заявила, что эта активность связана с кластером угроз, который она отслеживает как UAT-8616, и что имеющиеся свидетельства указывают на то, что эксплуатация могла начаться еще в 2023 году. Успешная эксплуатация позволила бы злоумышленникам манипулировать связью между контроллером и устройствами, изменять сетевые конфигурации и потенциально устанавливать постоянный доступ в корпоративных средах.
Злоумышленники пытаются осуществить активную эксплуатацию
Ник Андерсен, исполнительный помощник директора по кибербезопасности Агентства по кибербезопасности и защите инфраструктуры США (CISA), заявил на брифинге для СМИ, что злоумышленники активно пытаются получить доступ и потенциально скомпрометировать федеральные сети путем эксплуатации этой уязвимости, но не уточнил, какие именно ведомства затронуты.
Он также предупредил, что активность, по-видимому, возрастает. «Мы продолжаем наблюдать увеличение объемов как поведения злоумышленников, так и расширение атакуемой поверхности, на которую они нацелены», — сказал Андерсен, добавив, что CISA находится на ранних стадиях устранения уязвимости. «Это широкомасштабная активность, которую мы видели, и постоянная приверженность киберзлоумышленников использовать преимущества SD-WAN и других технологий продолжает развиваться в этой области».
Андерсен отметил, что CISA в настоящее время не связывает эту активность с какой-либо конкретной группой злоумышленников.
Доступны обновления программного обеспечения
Контроллеры SD-WAN играют центральную роль в оркестровке трафика в распределенных корпоративных сетях, включая филиалы и облачные среды. Компрометация на уровне контроллера может предоставить злоумышленникам широкий обзор и контроль над значительной частью сетевой инфраструктуры организации.
В отдельном бюллетене по безопасности Cisco подтвердила наличие уязвимости и выпустила обновления программного обеспечения для ее устранения. По данным компании, уязвимость вызвана недостаточной проверкой запросов на аутентификацию в процессе пиринга SD-WAN. Злоумышленник, отправивший специально сформированный трафик, может получить несанкционированный доступ к системе и взаимодействовать с внутренними интерфейсами.
Cisco заявила, что обходных путей для устранения уязвимости не существует, и настоятельно призвала клиентов немедленно применить доступные исправления. Компания также рекомендовала проверять системные журналы, подтверждать целостность контроллеров и внедрять дополнительные меры по укреплению безопасности, где это возможно.
CISA и другие агентства «Пяти глаз» советуют организациям, использующим Cisco SD-WAN, уделить первоочередное внимание развертыванию исправлений и провести тщательную оценку компрометации, чтобы определить, не произошло ли уже ее эксплуатация.
CISA и организации-составители настоятельно призывают сетевых защитников немедленно предпринять следующие шаги:
- Составить инвентаризацию всех систем Cisco SD-WAN, подпадающих под действие требований.
- Собрать артефакты, включая виртуальные снимки и журналы систем SD-WAN.
- Установить исправления для систем Cisco SD-WAN, в том числе для CVE-2026-20127 и CVE-2022-20775.
- Осуществить поиск доказательств компрометации.
- Внедрить меры, изложенные в руководстве по укреплению безопасности Catalyst SD-WAN от Cisco, и ознакомиться с их блогом.
Раскрытие информации происходит на фоне напряженности в CISA
Раскрытие информации происходит на фоне усиленного контроля за безопасностью сетевой инфраструктуры. Это также происходит в то время, когда CISA, сталкиваясь с сокращением штата и работая в условиях ограничений, связанных с продолжающимся простоем Министерства внутренней безопасности, управляет ограниченными ресурсами в период повышенной активности угроз.
Однако Андерсен из CISA заявил, что, несмотря на продолжающийся многонедельный простой Министерства внутренней безопасности, «CISA полностью привержена защите федеральных сетей от вредоносных угроз».
Экстренные предписания являются обязательными для федеральных гражданских ведомств и зарезервированы для уязвимостей, представляющих значительную немедленную угрозу. Хотя данное предписание конкретно применяется к государственным сетям, CISA часто призывает организации частного сектора следовать аналогичным графикам устранения уязвимостей, когда они активно эксплуатируются в реальных условиях.
Сдвиг в сторону целей плоскости управления
Скоординированные сообщения от Talos, Cisco и государственных агентств подчеркивают продолжающийся сдвиг в приоритетах злоумышленников. Вместо того чтобы нацеливаться только на конечные точки или приложения, с которыми взаимодействуют пользователи, изощренные группы все чаще нацеливаются на технологии плоскости управления, такие как SD-WAN, межсетевые экраны и системы идентификации, которые предоставляют стратегический доступ к сети.
Компрометация инфраструктуры SD-WAN может обеспечить высокую операционную выгоду. Поскольку контроллеры управляют маршрутизацией, принудительным исполнением политик и аутентификацией устройств в распределенных средах, злоумышленник с привилегированным доступом может нарушить потоки трафика, перенаправить коммуникации или использовать эту позицию для латерального перемещения в облачные и локальные активы.
Эти сообщения также подтверждают давние опасения по поводу окна риска между обнаружением уязвимости и развертыванием исправлений. В данном случае Talos указала, что активность эксплуатации могла предшествовать публичному раскрытию на значительный период, что говорит о том, что злоумышленники смогли использовать уязвимость до того, как клиенты о ней узнали.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
