Критическая уязвимость Cisco SD-WAN, используемая в атаках нулевого дня с 2023 года
Компания Cisco предупреждает, что критическая уязвимость, связанная с обходом аутентификации в Cisco Catalyst SD-WAN, известная как CVE-2026-20127, активно использовалась в атаках нулевого дня. С её помощью злоумышленники могли взламывать контроллеры и добавлять вредоносные узлы в целевые сети.
Уязвимость CVE-2026-20127 имеет максимальный уровень опасности 10.0 и затрагивает Cisco Catalyst SD-WAN Controller (ранее vSmart) и Cisco Catalyst SD-WAN Manager (ранее vManage) в локальных и облачных установках SD-WAN.
Компания Cisco выразила благодарность Австралийскому центру кибербезопасности при Управлении связи Австралии (Australian Cyber Security Centre, ACSC) за сообщение об уязвимости.
В опубликованном сегодня сообщении Cisco говорится, что проблема связана с механизмом аутентификации при пиринге, который «работает некорректно».
«Эта уязвимость существует из-за того, что механизм аутентификации при пиринге в уязвимой системе работает некорректно. Злоумышленник может воспользоваться этой уязвимостью, отправив в уязвимую систему специально сформированные запросы», — говорится в рекомендациях Cisco CVE-2026-20127.
«В случае успешной эксплуатации уязвимости злоумышленник может войти в систему затронутого контроллера Cisco Catalyst SD-WAN под учетной записью внутреннего пользователя с высокими привилегиями, не являющегося администратором. Используя эту учетную запись, злоумышленник может получить доступ к NETCONF, что позволит ему управлять конфигурацией сети SD-WAN».
Cisco Catalyst SD-WAN — это программная сетевая платформа, которая объединяет филиалы, центры обработки данных и облачные среды с помощью централизованно управляемой системы. Она использует контроллер для безопасной маршрутизации трафика между объектами по зашифрованным соединениям.
Добавив «жучок», злоумышленник может внедрить в среду SD-WAN вредоносное устройство, которое будет выглядеть как легитимное. Такое устройство может устанавливать зашифрованные соединения и рекламировать сети, находящиеся под контролем злоумышленника, что потенциально позволит ему проникнуть глубже в корпоративную сеть.
В отдельном предупреждении от Cisco Talos говорится, что уязвимость активно использовалась в атаках, и отслеживается вредоносная активность под тегом «UAT-8616», которая, по мнению специалистов, с высокой долей вероятности была совершена злоумышленниками с высоким уровнем подготовки.
Компания Talos сообщает, что, согласно ее телеметрическим данным, эксплуатация уязвимости началась как минимум в 2023 году. По данным наших партнеров, злоумышленник, вероятно, получил root-доступ, понизив версию программного обеспечения до более старой, воспользовавшись CVE-2022-20775, а затем восстановив исходную версию прошивки.
Вернувшись к исходной версии после использования уязвимости, злоумышленник мог получить root-доступ, оставаясь незамеченным.
Об уязвимости было сообщено в скоординированных бюллетенях Cisco, а также властей США и Великобритании.
25 февраля 2026 года CISA выпустила Чрезвычайную директиву 26-03, требующую от федеральных органов гражданской исполнительной власти инвентаризации систем Cisco SD-WAN, сбора артефактов судебной экспертизы, обеспечения внешнего хранилища журналов, применения обновлений и расследования потенциальных компромиссов, связанных с CVE-2026-20127 и CVE-2022-20775.
По данным CISA, эксплуатация уязвимости представляет непосредственную угрозу для федеральных сетей, поэтому устройства необходимо обновить до 17:00 по восточному времени 27 февраля 2026 года.
Совместное руководство по поиску и устранению уязвимостей от CISA и Национального центра кибербезопасности Великобритании предупреждает, что злоумышленники по всему миру нацеливаются на развертывания Cisco Catalyst SD-WAN, чтобы добавлять неавторизованные узлы, а затем предпринимать дальнейшие действия для получения корневого доступа и сохранения постоянного контроля.
В рекомендациях подчеркивается, что интерфейсы управления SD-WAN ни в коем случае не должны быть доступны из интернета, и организациям настоятельно рекомендуется немедленно обновить и укрепить уязвимые системы.
«Наше новое предупреждение ясно дает понять, что организациям, использующим продукты Cisco Catalyst SD-WAN, следует срочно проверить, не подверглась ли их сеть компрометации, и выявить вредоносную активность, воспользовавшись новыми рекомендациями по поиску угроз, разработанными совместно с нашими международными партнерами, чтобы обнаружить признаки компрометации», — заявил Олли Уайтхаус, технический директор Национального центра кибербезопасности Великобритании, в заявлении, опубликованном на сайте BleepingComputer.
«Британским организациям настоятельно рекомендуется сообщать о случаях компрометации данных в Национальный центр кибербезопасности, а также как можно скорее устанавливать обновления от поставщиков и следовать рекомендациям по усилению защиты, чтобы снизить риск использования уязвимостей».
Компания Cisco выпустила обновления программного обеспечения для устранения уязвимости и заявила, что обходных путей, которые полностью устранили бы проблему, не существует.
Признаки компрометации
Cisco и Talos призывают организации внимательно проверять журналы любых систем Catalyst SD-WAN Controller, подключенных к интернету, на наличие признаков несанкционированного пиринга и подозрительной активности при аутентификации.
Компания рекомендует администраторам проверять /var/log/auth.log на наличие записей с пометкой «Принят открытый ключ для vmanage-admin» с неизвестных IP-адресов:
2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]
Администраторы должны сравнить эти IP-адреса с настроенными системными IP-адресами, указанными в интерфейсе SD-WAN Manager, а также с известными IP-адресами инфраструктуры управления или контроллеров. Если неизвестный IP-адрес успешно прошел аутентификацию, администраторам следует считать, что их устройства взломаны, и обратиться в службу технической поддержки Cisco.
Компания Talos и государственные органы предоставили дополнительные сведения о возможных признаках компрометации, в том числе о создании и удалении учетных записей злоумышленников, неожиданных входах в систему с правами root, неавторизованных SSH-ключах в учетных записях vmanage-admin или root, а также об изменениях, разрешающих PermitRootLogin.
Администраторам также следует обращать внимание на необычно маленькие или отсутствующие файлы журналов, что может указывать на подмену файлов, а также на понижение версии программного обеспечения и перезагрузки, которые могут свидетельствовать об использовании уязвимости CVE-2022-20775 для получения root-доступа.
Чтобы проверить, не используется ли уязвимость CVE-2022-20775, CISA рекомендует проанализировать следующие журналы:
/var/volatile/log/vdebug
/var/log/tmplog/vdebug
/var/volatile/log/sw_script_synccdb.log
Руководство CISA по поиску и устранению уязвимостей предписывает организациям собирать криминалистические артефакты, в том числе дампы ядра администратора и домашние каталоги пользователей, а также обеспечивать внешнее хранение журналов для предотвращения их изменения.
Если учетная запись root была скомпрометирована, агентствам следует выполнить новую установку, а не пытаться очистить существующую инфраструктуру.
Организации также должны рассматривать неожиданные события, связанные с пирингом, или необъяснимую активность контроллера как потенциальные признаки компрометации и немедленно расследовать их.
Как CISA, так и NCSC Великобритании рекомендуют ограничить доступ к сети, разместить компоненты управления SD-WAN за брандмауэрами, изолировать интерфейсы управления, пересылать журналы во внешние системы и применять рекомендации Cisco по усилению защиты.
Cisco настоятельно рекомендует перейти на фиксированную версию программного обеспечения, поскольку это единственный способ полностью устранить уязвимость CVE-2026-20127.
Редактор: AndreyEx
