Как уязвимость нулевого дня в Cisco SD-WAN позволяет хакерам незаметно захватывать критическую инфраструктуру с 2023 года?

Группировка UAT-8616, официально классифицируемая как «высококвалифицированный субъект киберугроз», с 2023 года активно эксплуатирует уязвимость нулевого дня максимального уровня критичности (CVE-2026-20127) в системах Cisco Catalyst SD-WAN. Целями злоумышленников выступают периферийные сетевые устройства, высокоценные организации и секторы критической инфраструктуры (CI). Интеграция в эти сети обеспечивает хакерам постоянное присутствие и полный контроль над сетевыми конфигурациями без необходимости первоначальной аутентификации.
Как уязвимость нулевого дня в Cisco SD-WAN позволяет хакерам незаметно захватывать критическую инфраструктуру с 2023 года?
Изображение носит иллюстративный характер

Первичная уязвимость CVE-2026-20127 обладает максимальной оценкой опасности CVSS 10.0 и заключается в сбое механизма аутентификации пиринга. Данный недостаток позволяет неаутентифицированному удаленному злоумышленнику обойти проверку подлинности с помощью специально созданного запроса. В результате атаки хакер получает повышенные административные привилегии внутреннего пользователя без корневого доступа, что открывает путь к протоколу NETCONF для прямого манипулирования сетевой конфигурацией фабрики SD-WAN.

Вектор атаки направлен на устройства Cisco Catalyst SD-WAN Controller (ранее vSmart) и Cisco Catalyst SD-WAN Manager (ранее vManage), порты которых открыты для доступа из интернета. На первом этапе эксплуатации CVE-2026-20127 создается «мошеннический узел», который подключается к плоскости управления и контроля. Затем злоумышленники используют встроенный механизм обновления для инициирования скрытого отката версии программного обеспечения, создавая необходимые условия для применения вторичной уязвимости.

Вторичная уязвимость CVE-2022-20775 с оценкой CVSS 7.8 представляет собой ошибку повышения привилегий в интерфейсе командной строки (CLI) программного обеспечения Cisco SD-WAN. Она эксплуатируется на этапе после компрометации для повышения прав доступа до уровня пользователя root. Получив корневой доступ, группировка UAT-8616 восстанавливает исходную версию программного обеспечения, добавляет авторизованный ключ протокола Secure Shell (SSH) для обеспечения постоянного root-доступа и модифицирует сценарии запуска, связанные с SD-WAN, для адаптации системной среды.

Для перемещения и связи между устройствами внутри плоскости управления злоумышленники используют протокол сетевой конфигурации NETCONF через порт 830, а также SSH. Чтобы скрыть следы вторжения, UAT-8616 полностью очищает директорию журналов «/var/log», удаляет историю введенных команд и стирает данные обо всех сетевых подключениях.

Для выявления факта компрометации необходимо провести аудит файла «/var/log/auth.log» на наличие записи «Принят открытый ключ для vmanage-admin», исходящей от неизвестных или несанкционированных IP-адресов. Обнаруженные IP-адреса требуется обязательно сверить с настроенными системными IP-адресами через пользовательский интерфейс в Cisco Catalyst SD-WAN Manager по пути: WebUI > Devices > System IP.

Производитель оборудования Cisco, команда анализа угроз Talos и Австралийский центр кибербезопасности при Управлении радиотехнической обороны Австралии (ASD-ACSC) определили четкие пути миграции на исправленные версии прошивок. Системы на базе версии 20.111 обновляются до 20.12.6.1; версии 20.12.5 — до 20.12.5.3; версии 20.12.6 — до 20.12.6.1. Устройства с версиями 20.131, 20.141 и 20.15 подлежат переходу на 20.15.4.2, а версии 20.161 и 20.18 — на 20.18.2.1. Миграция с версии 20.9 на безопасную сборку 20.9.8.2 станет доступна 27 февраля 2026 года, что является предполагаемой датой релиза патча.

Агентство по кибербезопасности и защите инфраструктуры (CISA) внесло CVE-2026-20127 и CVE-2022-20775 в каталог известных эксплуатируемых уязвимостей (KEV) и выпустило экстренную директиву «26-03: Устранение уязвимостей в системах Cisco SD-WAN». Документ обязывает ведомства Федеральной гражданской исполнительной власти (FCEB) применить исправления в течение 24 часов. Установлены строгие дедлайны по восточному времени (ET): до 23:59 26 февраля 2026 года ведомства обязаны предоставить каталог всех целевых систем SD-WAN в своих сетях; до 23:59 5 марта 2026 года — детальный список продуктов и принятых мер; а до 23:59 26 марта 2026 года необходимо направить полный перечень шагов, предпринятых для усиления защиты сред.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка