Сети крупных организаций по всему миру оказались под прицелом. Агентство по кибербезопасности и защите инфраструктуры США (CISA) совместно с ведущими международными партнёрами, включая АНБ США, опубликовало экстренное предупреждение о продолжающейся масштабной кампании по компрометации систем Cisco SD-WAN. В основе атак лежит эксплуатация двух уязвимостей, одна из которых, ранее неизвестная, позволяет полностью обойти аутентификацию. Для федеральных агентств США выпущены обязательные к исполнению директивы, что подчёркивает критический уровень угрозы, способной парализовать работу как государственных, так и коммерческих структур.
Детали
Фактическую основу для тревоги специалистов по информационной безопасности составили две уязвимости, внесённые 25 февраля 2026 года в каталог активно эксплуатируемых уязвимостей CISA (Known Exploited Vulnerabilities). Первая, CVE-2026-20127, представляет собой критическую уязвимость обхода аутентификации в контроллерах и менеджерах Cisco Catalyst SD-WAN. Её максимальная оценка по шкале CVSS составляет 10.0 баллов из 10. Уязвимость возникает из-за некорректной работы механизма аутентификации взаимодействия между компонентами (peering authentication). В результате неавторизованный удалённый злоумышленник может получить административные привилегии на целевой системе. Это открывает доступ к NETCONF, протоколу управления сетевыми устройствами, позволяя манипулировать конфигурацией всей SD-WAN-сети.
Однако, как отмечают эксперты, атака не ограничивается одним лишь первоначальным доступом. Второй этап включает использование уязвимости CVE-2022-20775, которая была обнаружена ещё в 2022 году. Эта уязвимость, связанная с неправильными ограничениями доступа к командам в интерфейсе командной строки (CLI), позволяет локальному аутентифицированному пользователю повысить свои привилегии до уровня суперпользователя root. В связке эти два недостатка образуют мощный тандем: CVE-2026-20127 служит для незаметного проникновения в систему, а CVE-2022-20775 - для закрепления в ней и получения полного контроля. Именно такая цепочка, по данным CISA, активно используется злоумышленниками для установления долгосрочного присутствия в корпоративных сетях.
Последствия успешной компрометации системы SD-WAN трудно переоценить. Поскольку эти решения являются центральным элементом построения глобальных корпоративных сетей, соединяя удалённые офисы, центры обработки данных и облачные сервисы, злоумышленник получает возможность перехватывать, модифицировать или блокировать весь сетевой трафик организации. Это создаёт прямую угрозу конфиденциальности данных, включая коммерческую тайну и персональные данные, может привести к остановке критически важных бизнес-процессов, а также использоваться как плацдарм для атак на другие сегменты сети. В условиях, когда атаки носят глобальный характер, под ударом оказываются компании из самых разных отраслей по всему миру.
В ответ на эту угрозу CISA выпустило для федеральных гражданских исполнительных органов (Federal Civilian Executive Branch) чрезвычайную директиву ED 26-03, что является редкой и решительной мерой. Директива предписывает немедленно провести инвентаризацию всех систем Cisco SD-WAN, установить все доступные обновления безопасности и провести оценку на предмет возможной компрометации. Параллельно опубликовано дополнительное руководство, детализирующее процедуры поиска следов взлома и усиления защиты. Международное сообщество также оперативно отреагировало: Центр кибербезопасности Австралии (ASD’s ACSC) совместно с CISA, АНБ и коллегами из Канады, Новой Зеландии и Великобритании выпустил подробное руководство по поиску угроз, основанное на реальных данных расследований.
Для специалистов по защите информации, ответственных за безопасность сетей, авторы предупреждения сформулировали чёткий набор первоочередных действий.
- Необходимо незамедлительно обновить все компоненты Cisco SD-WAN до последних версий, устраняющих обе уязвимости.
- Критически важно провести активный поиск индикаторов компрометации в логировании и конфигурациях систем.
- Следует выполнить рекомендации по усилению защиты из руководства Cisco, которые включают размещение компонентов управления за межсетевыми экранами, замену самоподписанных сертификатов веб-интерфейса, использование парных криптографических ключей для защиты плоскости управления и данных, минимизацию времени сессии и обязательную пересылку логов на удалённый сервер системного журнала (syslog).
Данный инцидент наглядно демонстрирует, как ранее известная, но не до конца устранённая уязвимость может быть использована в сочетании с новой для создания разрушительного вектора атаки. Он также подчёркивает важность своевременного и полного применения обновлений безопасности даже для тех уязвимостей, которые были раскрыты несколько лет назад. Для организаций, чья инфраструктура зависит от решений Cisco SD-WAN, текущий момент требует максимальной оперативности и внимания к деталям. Промедление с применением исправлений и проверкой систем на предмет взлома может привести к потере контроля над одной из самых важных артерий современного бизнеса - глобальной корпоративной сетью.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2022-20775
- https://www.cve.org/CVERecord?id=CVE-2026-20127
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sd-wan-priv-E6e8tEdF
- https://github.com/orangecertcc/security-research/security/advisories/GHSA-wmjv-552v-pxjc
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
- https://www.cisa.gov/news-events/alerts/2026/02/25/cisa-and-partners-release-guidance-ongoing-global-exploitation-cisco-sd-wan-systems
