Специалистам по информационной безопасности и администраторам сетей, использующим решения Cisco, необходимо действовать незамедлительно. Cisco выпустила срочные обновления для устранения критической уязвимости нулевого дня в своих продуктах линейки Catalyst SD-WAN. Уязвимость, получившая идентификатор CVE-2026-20127, уже активно эксплуатируется в реальных атаках высококвалифицированной угрозой, известной как UAT-8616. Основная цель злоумышленников - получение полного контроля над граничными устройствами корпоративных сетей, что представляет особую опасность для организаций критической информационной инфраструктуры.
Детали уязвимости
Суть проблемы заключается в ошибке в механизме аутентификации пиринговых соединений (peering authentication) между компонентами SD-WAN. Из-за этого недостатка удалённый злоумышленник, не проходя проверку подлинности, может отправить специально сформированные запросы к уязвимой системе. В случае успешной атаки нарушитель обходит защиту и получает доступ к системе в качестве внутреннего пользователя с высокими привилегиями. Используя эту учётную запись, атакующий получает возможность манипулировать конфигурацией всей сети через протокол NETCONF (Network Configuration Protocol, предназначенный для централизованного управления сетевым оборудованием). Уязвимость затрагивает Cisco Catalyst SD-WAN Controller (ранее vSmart) и Cisco Catalyst SD-WAN Manager (ранее vManage) независимо от их конфигурации, включая как локальные развёртывания, так и облачные сервисы, включая среду, сертифицированную по стандарту FedRAMP.
Атаки, по данным исследователей Cisco Talos, проводятся группой UAT-8616, чья деятельность отслеживается с 2023 года. Эта группа демонстрирует высокий уровень профессионализма и использует многоступенчатую технику для закрепления в системе после первоначального взлома. Сначала, получив административный доступ через уязвимость нулевого дня, злоумышленники намеренно понижают версию программного обеспечения устройства до более старой, содержащей другую известную уязвимость - CVE-2022-20775. Эта вторая уязвимость позволяет локально повысить привилегии до уровня суперпользователя (root). После этого атакующие возвращают систему к исходной версии ПО, чтобы скрыть следы своей деятельности, сохраняя при этом скрытый root-доступ. Подобная тактика указывает на целенаправленные и тщательно спланированные операции, нацеленные на долгосрочное присутствие в инфраструктуре жертвы.
Для специалистов по безопасности критически важно начать активный поиск индикаторов компрометации. Ключевым шагом является тщательная ручная проверка всех событий установки пиринговых соединений в журналах SD-WAN. Необходимо сверять временные метки событий с известными графиками технического обслуживания, а также подтверждать, что исходные публичные IP-адреса принадлежат авторизованной инфраструктуре организации. Конкретные признаки взлома включают записи в файле "/var/log/auth.log" об успешной аутентификации по открытому ключу для пользователя "vmanage-admin" с неавторизованных IP-адресов, наличие несанкционированных SSH-ключей в каталоге "/home/root/.ssh/authorized_keys", аномально маленькие (0, 1 или 2 байта) файлы журналов, что свидетельствует о возможной подмене логов, отсутствие или очистку файлов истории команд (например: "bash_history"), а также записи в системных журналах о несанкционированных понижениях версий ПО, сопровождающихся внезапными перезагрузками.
К сожалению, временных обходных решений (workarounds) для данной уязвимости не существует. Cisco настоятельно рекомендует всем организациям немедленно обновить программное обеспечение до защищённых версий. Актуальная информация о фиксированных выпусках приведена в официальном бюллетене компании. В качестве дополнительной меры защиты для локальных развёртываний можно рассмотреть применение списков контроля доступа (ACL) или правил межсетевого экрана для ограничения трафика на порты 22 (SSH) и 830 (NETCONF), разрешив соединения только с известных IP-адресов контроллеров. Если есть подозрение на компрометацию, администраторам следует сформировать файл диагностики с помощью команды "request admin-tech" на всех контрольных компонентах и немедленно обратиться в службу технической поддержки Cisco (Technical Assistance Center, TAC).
Данный инцидент ярко демонстрирует растущий интерес продвинутых угроз к сетевым компонентам, особенно к программно-определяемым глобальным сетям (SD-WAN), которые становятся стратегическими точками входа в корпоративную инфраструктуру. Эксплуатация уязвимостей на границе сети позволяет злоумышленникам не только перехватывать трафик, но и перенаправлять его, а также получать доступ к внутренним ресурсам. В свете этих событий компаниям необходимо пересмотреть подходы к защите своих SD-решений, уделяя особое внимание сегментации сети, строгой аутентификации межкомпонентного взаимодействия, регулярному аудиту журналов и, что наиболее важно, своевременному применению обновлений безопасности. Оживлённая эксплуатация CVE-2026-20127 - это серьёзный сигнал для всего индустриального сообщества о необходимости повышенной бдительности в отношении безопасности сетевой периферии.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20127
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
