Уязвимости в контроллерах Cisco SD-WAN привели к волне атак: от веб-шеллов до майнеров

Наибольшую опасность представляет уязвимость CVE-2026-20182, затрагивающая контроллер Cisco Catalyst SD-WAN Controller (ранее vSmart) и менеджер Cisco Catalyst SD-WAN Manager (ранее vManage). Она позволяет удалённому неаутентифицированному атакующему обойти проверку подлинности и получить административные привилегии. Специалисты Cisco Talos отслеживают активную эксплуатацию этой бреши в реальных условиях. Они объединили связанную с ней активность под идентификатором UAT-8616 и с высокой степенью уверенности относят эту группу к числу высококвалифицированных киберугроз. Ранее те же злоумышленники использовали схожую уязвимость CVE-2026-20127 для проникновения в такие же системы.

После успешной атаки группа UAT-8616 выполняет стандартные для неё действия: добавляет ключи SSH, изменяет конфигурации NETCONF (протокол управления сетевыми устройствами) и пытается повысить свои права до суперпользователя. Инфраструктура, которую использует эта группа, частично пересекается с сетями ORB (Operational Relay Box) - прокси-узлами, за которыми Talos давно наблюдает. К счастью, пока масштаб эксплуатации именно CVE-2026-20182 остаётся ограниченным, и Cisco уже выпустила обновления безопасности.

Однако на этом история не заканчивается. Параллельно, начиная с марта 2026 года, специалисты Talos зафиксировали массовую эксплуатацию трёх других уязвимостей - CVE-2026-20133, CVE-2026-20128 и CVE-2026-20122. Они также затрагивают Cisco Catalyst SD-WAN Manager и при совместном использовании позволяют удалённому злоумышленнику получить доступ к устройству без аутентификации. Важно подчеркнуть, что эти уязвимости не связаны с CVE-2026-20182 и были обнаружены раньше. В феврале 2026 года Cisco выпустила патчи и настоятельно рекомендовала их установить, но многие организации не успели этого сделать.

Проблема усугубилась после того, как лаборатория ZeroZenX Labs опубликовала в открытом доступе рабочий эксплойт-код (программа, использующая уязвимость для атаки). С марта по апрель 2026 года эксперты наблюдали десятки случаев взлома незащищённых систем. Почти все атаки использовали именно этот PoC-код и сопровождающий его веб-шелл на языке JSP (JavaServer Pages), который Talos назвал XenShell. Веб-шелл - это вредоносный скрипт, позволяющий атакующему удалённо выполнять команды на скомпрометированном сервере. Кроме XenShell, злоумышленники применяли и другие варианты таких скриптов, в том числе модифицированные версии известных инструментов Godzilla и Behinder.

Аналитики выделили десять отдельных кластеров активности, каждый со своей тактикой. В одних случаях после взлома развёртывались майнеры криптовалюты Monero (XMRig), в других - инструменты для кражи учётных данных, такие как скрипт, собирающий хэши паролей администратора и JSON Web Token (токены, используемые для API-аутентификации). Некоторые группы использовали фреймворк для эмуляции угроз Sliver или даже адаптированный под свои нужды открытый инструмент AdaptixC2. Один из кластеров загружал на скомпрометированные системы агент на языке Nim, который, судя по всему, был создан с помощью ИИ-платформы Replit. Этот агент позволял скачивать файлы, выполнять команды Bash и отправлять данные на командно-контрольный сервер (C2).

Особого внимания заслуживает то, что злоумышленники активно используют peer-to-peer инструменты вроде gsocket для создания скрытых каналов связи. После получения доступа к контроллеру SD-WAN они могут не только похитить данные, но и превратить устройство в точку входа в корпоративную сеть для дальнейших атак. В ряде случаев после компрометации на серверах запускали майнеры, что приводит к перегрузке процессора и дополнительным расходам на электроэнергию.

Cisco уже выпустила все необходимые обновления для закрытия перечисленных уязвимостей. Компания настоятельно рекомендует установить их в кратчайшие сроки, особенно на системах, доступных из интернета. Для CVE-2026-20182 выпущен отдельный бюллетень безопасности. Специалистам по информационной безопасности также следует проверить свои сети на признаки использования веб-шеллов XenShell, Godzilla или Behinder - например, на наличие подозрительных JSP-файлов во временных каталогах. Учитывая активность злоумышленников, промедление с обновлением может привести к полной компрометации сети и серьёзным финансовым потерям.

IPv4

• 104.233.156.1
• 13.62.52.206
• 176.65.139.31
• 194.163.175.135
• 194.233.100.40
• 212.83.162.37
• 23.27.143.170
• 38.181.52.89
• 38.60.214.92
• 47.104.248.7
• 65.20.67.134
• 71.80.85.135
• 79.135.105.208
• 83.229.126.195
• 89.125.244.33
• 89.125.244.51

IPv4 Port Combinations

• 194.163.175.135:4445

Domains

• a820b09-95ba-44eb-b350-417e8241b725-00-1lgwuuen9b77p.worf.replit.dev

URLs

• http://13.62.52.206:5004
• http://83.229.126.195:8081/config.json
• http://83.229.126.195:8081/xmrig
• https://1a820b09-95ba-44eb-b350-417e8241b725-00-1lgwuuen9b77p.worf.replit.dev/download

SHA256

• 02654acfb21f83485393ba8b14bd8862b919b9ec966fc6768f6aac1338a45ee8
• 0c87871642f84e09e8d3fb23ec36bf55601323e31151a7017a85dbec929cf15d
• 0ed72d52347bfe4a78afff8a6982a64050c8fc86d8957a20eeb3e0f3f5342ed0
• 17302d903baf182f94dc3be40ab1e0874dd0eb2ec5255bf9131fd53591efe925
• 18d77c9c5bbb5b9d5bdfd366fdfcf26bad9e64c63ca865fad711bcce8e3d5a80
• 5bc5998161056b7c8f70c9724d8a63abc7ff8c3843b91c30cffab0899e39b7f8
• 72f570ce97de3eaaffef33d90b0c337a153fc9690cc34ee207b557d868360060
• 7aa88a64a527ade7d93c20faf23b54f2ee33ad9b1246cdc2f8ded2ab639affb1
• 96fc528ca5e7d1c2b3add5e31b8797cb126f704976c8fbeaecdbf0aa4309ad46
• b0f51b098842cd630097b462aab0ec357e2c7824af37cca6d08165265da2c2d3
• d94f75a70b5cabaf786ac57177ed841732e62bdcc9a29e06e5b41d9be567bcfa
• f6f8e0d790645395188fc521039385b7c4f42fa8b426fd035f489f6cda9b5da1