В мире корпоративных сетей и защиты критически важных объектов нарастает тревога. Обнаружена и активно эксплуатируется опасная уязвимость нулевого дня в программном обеспечении Cisco Catalyst SD-WAN, получившая идентификатор CVE-2026-20127. Ситуация перешла в острую фазу после того, как в открытый доступ попал рабочий эксплойт, что резко снизило порог входа для злоумышленников любого уровня подготовки. Это событие напрямую затрагивает безопасность сетевой инфраструктуры предприятий энергетики, транспорта, промышленности и других ключевых отраслей, для которых простои или компрометация данных могут иметь катастрофические последствия.
Уязвимость CVE-2026-20127
Суть проблемы заключается в критическом недостатке механизмов аутентификации в двух ключевых компонентах инфраструктуры Cisco: контроллере Catalyst SD-WAN Controller и системе управления Catalyst SD-WAN Manager. Уязвимость позволяет удалённому злоумышленнику, не имеющему никаких учётных данных, полностью обойти проверку подлинности. Отправив специально сформированный запрос на целевое устройство, атакующий получает административные привилегии в системе под учётной записью внутреннего пользователя с высокими правами. Фактически, это предоставляет ему почти полный контроль над управляющим элементом всей программно-определяемой сети.
Исследователи из Cisco Talos связывают активное использование этой уязвимости с деятельностью продвинутой группы угроз, отслеживаемой под кодовым названием UAT-8616. Совместный анализ с международными партнёрами по обмену разведданными показал, что вредоносная активность с использованием этого вектора атаки ведётся как минимум с 2023 года. Однако тактика UAT-8616 впечатляет своей изощрённостью и нацеленностью на долгосрочное закрепление в системе. Получив начальный административный доступ через CVE-2026-20127, злоумышленники намеренно понижают версию программного обеспечения на устройстве. Это не случайность, а часть многоступенчатого плана. После отката версии они используют другую, уже известную уязвимость - CVE-2022-20775 - чтобы эскалировать свои привилегии до уровня суперпользователя (root). Завершив этот этап и обеспечив себе полный контроль, атакуемые восстанавливают исходную версию ПО, маскируя следы вмешательства. Эта кампания наглядно демонстрирует тренд, когда сложные группы угроз целенаправленно атакуют критическую инфраструктуру не для сиюминутной выгоды, а для создания постоянного плацдарма для будущих операций.
Между тем, угроза вышла далеко за рамки действий лишь высококвалифицированных APT-групп (продвинутых постоянных угроз). На платформе GitHub исследователь безопасности под псевдонимом zerozenxlabs опубликовал рабочий эксплойт, подтверждающий концепцию (Proof-of-Concept, PoC). Репозиторий содержит скрипты на Python и Java, включая конкретные веб-оболочки, которые на практике демонстрируют возможность выполнения произвольного кода без предварительной аутентификации. Согласно документации, используя этот инструмент, злоумышленники могут создавать несанкционированные узлы в плоскости управления, полностью обходить все механизмы аутентификации и получать доступ к интерфейсу NETCONF на порту 830. Это открывает возможность свободного манипулирования конфигурацией всей сетевой ткани SD-WAN, что равносильно выдаче ключей от цифровой крепости.
В свете этих событий командам информационной безопасности необходимо действовать незамедлительно. Cisco настоятельно рекомендует всем клиентам, использующим технологию Catalyst SD-WAN, немедленно применить меры, описанные в официальном руководстве по усилению защиты. Мониторинг логов должен быть усилен. Ключевыми индикаторами компрометации, на которые следует обратить внимание, являются неожиданные события установления управляющих соединений между узлами. Любые изменения состояния пиринга необходимо вручную сверять с утверждёнными окнами технического обслуживания, доверенными диапазонами IP-адресов и ожидаемыми ролями устройств. Высокодостоверными признаками деятельности группы UAT-8616 являются создание подозрительных учётных записей, несанкционированные интерактивные сессии с правами суперпользователя, а также появление неизвестных SSH-ключей в каталогах вроде "/home/root/.ssh/authorized_keys". Также важно искать следы очистки логов: отсутствие истории команд bash или очищенные файлы в "/var/log/", такие как syslog, wtmp, lastlog и cli-history. Кроме того, необходимо проверять логи на предмет попыток несанкционированного понижения версии ПО или строк, указывающих на использование техники path traversal для повышения привилегий.
В итоге, история с CVE-2026-20127 служит суровым напоминанием о хрупкости даже сложных корпоративных систем. Уязвимость, годами эксплуатировавшаяся узким кругом изощрённых противников, теперь стала оружием массового поражения для сетевой безопасности. Для организаций из сектора критической инфраструктуры промедление с применением заплат и усилением мониторинга более не является вариантом. Речь идёт не просто об исправлении ошибки в коде, а о предотвращении реальной и непосредственной угрозы целостности и доступности ключевых бизнес-процессов.
Ссылки
- https://github.com/zerozenxlabs/CVE-2026-20127---Cisco-SD-WAN-Preauth-RCE
- https://blog.talosintelligence.com/uat-8616-sd-wan/
- https://www.cve.org/CVERecord?id=CVE-2026-20127
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
