Группировка UAT-8616, официально классифицируемая как «высококвалифицированный субъект киберугроз», с 2023 года активно эксплуатирует уязвимость нулевого дня максимального уровня критичности (CVE-2026-20127) в системах Cisco Catalyst SD-WAN. Целями злоумышленников выступают периферийные сетевые устройства, высокоценные организации и секторы критической инфраструктуры (CI). Интеграция в эти сети обеспечивает хакерам постоянное присутствие и полный контроль над сетевыми конфигурациями без необходимости первоначальной аутентификации.
Первичная уязвимость CVE-2026-20127 обладает максимальной оценкой опасности CVSS 10.0 и заключается в сбое механизма аутентификации пиринга. Данный недостаток позволяет неаутентифицированному удаленному злоумышленнику обойти проверку подлинности с помощью специально созданного запроса. В результате атаки хакер получает повышенные административные привилегии внутреннего пользователя без корневого доступа, что открывает путь к протоколу NETCONF для прямого манипулирования сетевой конфигурацией фабрики SD-WAN.
Вектор атаки направлен на устройства Cisco Catalyst SD-WAN Controller (ранее vSmart) и Cisco Catalyst SD-WAN Manager (ранее vManage), порты которых открыты для доступа из интернета. На первом этапе эксплуатации CVE-2026-20127 создается «мошеннический узел», который подключается к плоскости управления и контроля. Затем злоумышленники используют встроенный механизм обновления для инициирования скрытого отката версии программного обеспечения, создавая необходимые условия для применения вторичной уязвимости.
Вторичная уязвимость CVE-2022-20775 с оценкой CVSS 7.8 представляет собой ошибку повышения привилегий в интерфейсе командной строки (CLI) программного обеспечения Cisco SD-WAN. Она эксплуатируется на этапе после компрометации для повышения прав доступа до уровня пользователя root. Получив корневой доступ, группировка UAT-8616 восстанавливает исходную версию программного обеспечения, добавляет авторизованный ключ протокола Secure Shell (SSH) для обеспечения постоянного root-доступа и модифицирует сценарии запуска, связанные с SD-WAN, для адаптации системной среды.
Для перемещения и связи между устройствами внутри плоскости управления злоумышленники используют протокол сетевой конфигурации NETCONF через порт 830, а также SSH. Чтобы скрыть следы вторжения, UAT-8616 полностью очищает директорию журналов «/var/log», удаляет историю введенных команд и стирает данные обо всех сетевых подключениях.
Для выявления факта компрометации необходимо провести аудит файла «/var/log/auth.log» на наличие записи «Принят открытый ключ для vmanage-admin», исходящей от неизвестных или несанкционированных IP-адресов. Обнаруженные IP-адреса требуется обязательно сверить с настроенными системными IP-адресами через пользовательский интерфейс в Cisco Catalyst SD-WAN Manager по пути: WebUI > Devices > System IP.
Производитель оборудования Cisco, команда анализа угроз Talos и Австралийский центр кибербезопасности при Управлении радиотехнической обороны Австралии (ASD-ACSC) определили четкие пути миграции на исправленные версии прошивок. Системы на базе версии 20.111 обновляются до 20.12.6.1; версии 20.12.5 — до 20.12.5.3; версии 20.12.6 — до 20.12.6.1. Устройства с версиями 20.131, 20.141 и 20.15 подлежат переходу на 20.15.4.2, а версии 20.161 и 20.18 — на 20.18.2.1. Миграция с версии 20.9 на безопасную сборку 20.9.8.2 станет доступна 27 февраля 2026 года, что является предполагаемой датой релиза патча.
Агентство по кибербезопасности и защите инфраструктуры (CISA) внесло CVE-2026-20127 и CVE-2022-20775 в каталог известных эксплуатируемых уязвимостей (KEV) и выпустило экстренную директиву «26-03: Устранение уязвимостей в системах Cisco SD-WAN». Документ обязывает ведомства Федеральной гражданской исполнительной власти (FCEB) применить исправления в течение 24 часов. Установлены строгие дедлайны по восточному времени (ET): до 23:59 26 февраля 2026 года ведомства обязаны предоставить каталог всех целевых систем SD-WAN в своих сетях; до 23:59 5 марта 2026 года — детальный список продуктов и принятых мер; а до 23:59 26 марта 2026 года необходимо направить полный перечень шагов, предпринятых для усиления защиты сред.
Изображение носит иллюстративный характер
Первичная уязвимость CVE-2026-20127 обладает максимальной оценкой опасности CVSS 10.0 и заключается в сбое механизма аутентификации пиринга. Данный недостаток позволяет неаутентифицированному удаленному злоумышленнику обойти проверку подлинности с помощью специально созданного запроса. В результате атаки хакер получает повышенные административные привилегии внутреннего пользователя без корневого доступа, что открывает путь к протоколу NETCONF для прямого манипулирования сетевой конфигурацией фабрики SD-WAN.
Вектор атаки направлен на устройства Cisco Catalyst SD-WAN Controller (ранее vSmart) и Cisco Catalyst SD-WAN Manager (ранее vManage), порты которых открыты для доступа из интернета. На первом этапе эксплуатации CVE-2026-20127 создается «мошеннический узел», который подключается к плоскости управления и контроля. Затем злоумышленники используют встроенный механизм обновления для инициирования скрытого отката версии программного обеспечения, создавая необходимые условия для применения вторичной уязвимости.
Вторичная уязвимость CVE-2022-20775 с оценкой CVSS 7.8 представляет собой ошибку повышения привилегий в интерфейсе командной строки (CLI) программного обеспечения Cisco SD-WAN. Она эксплуатируется на этапе после компрометации для повышения прав доступа до уровня пользователя root. Получив корневой доступ, группировка UAT-8616 восстанавливает исходную версию программного обеспечения, добавляет авторизованный ключ протокола Secure Shell (SSH) для обеспечения постоянного root-доступа и модифицирует сценарии запуска, связанные с SD-WAN, для адаптации системной среды.
Для перемещения и связи между устройствами внутри плоскости управления злоумышленники используют протокол сетевой конфигурации NETCONF через порт 830, а также SSH. Чтобы скрыть следы вторжения, UAT-8616 полностью очищает директорию журналов «/var/log», удаляет историю введенных команд и стирает данные обо всех сетевых подключениях.
Для выявления факта компрометации необходимо провести аудит файла «/var/log/auth.log» на наличие записи «Принят открытый ключ для vmanage-admin», исходящей от неизвестных или несанкционированных IP-адресов. Обнаруженные IP-адреса требуется обязательно сверить с настроенными системными IP-адресами через пользовательский интерфейс в Cisco Catalyst SD-WAN Manager по пути: WebUI > Devices > System IP.
Производитель оборудования Cisco, команда анализа угроз Talos и Австралийский центр кибербезопасности при Управлении радиотехнической обороны Австралии (ASD-ACSC) определили четкие пути миграции на исправленные версии прошивок. Системы на базе версии 20.111 обновляются до 20.12.6.1; версии 20.12.5 — до 20.12.5.3; версии 20.12.6 — до 20.12.6.1. Устройства с версиями 20.131, 20.141 и 20.15 подлежат переходу на 20.15.4.2, а версии 20.161 и 20.18 — на 20.18.2.1. Миграция с версии 20.9 на безопасную сборку 20.9.8.2 станет доступна 27 февраля 2026 года, что является предполагаемой датой релиза патча.
Агентство по кибербезопасности и защите инфраструктуры (CISA) внесло CVE-2026-20127 и CVE-2022-20775 в каталог известных эксплуатируемых уязвимостей (KEV) и выпустило экстренную директиву «26-03: Устранение уязвимостей в системах Cisco SD-WAN». Документ обязывает ведомства Федеральной гражданской исполнительной власти (FCEB) применить исправления в течение 24 часов. Установлены строгие дедлайны по восточному времени (ET): до 23:59 26 февраля 2026 года ведомства обязаны предоставить каталог всех целевых систем SD-WAN в своих сетях; до 23:59 5 марта 2026 года — детальный список продуктов и принятых мер; а до 23:59 26 марта 2026 года необходимо направить полный перечень шагов, предпринятых для усиления защиты сред.
