Avviso di sicurezza: CVE-2026-20127 - Bypass dell'autenticazione di Cisco Catalyst SD-WAN

Le piattaforme Cisco Catalyst SD-WAN sono ampiamente diffuse nelle aziende, nelle amministrazioni pubbliche e nei service provider, e spesso fungono da infrastruttura centrale che collega uffici remoti, data center e ambienti cloud. Poiché questi controller sono spesso raggiungibili da reti esterne per supportare operazioni distribuite, rappresentano un obiettivo molto visibile e interessante per gli attori delle minacce.

Cisco ha reso nota una vulnerabilità critica di bypass dell'autenticazione, CVE-2026-20127, che interessa sia Cisco Catalyst SD-WAN Controller (ex vSmart) che Cisco Catalyst SD-WAN Manager (ex vManage). La falla ha un punteggio CVSS di 10.0 e consente a un aggressore remoto, non autenticato, di ottenere un accesso di livello amministrativo inviando richieste di tipo artigianale a un sistema esposto.

La vulnerabilità deriva da un errore nel processo di autenticazione del peering SD-WAN, interrompendo di fatto un meccanismo di fiducia fondamentale nel piano di controllo. Una volta sfruttata, un utente malintenzionato può accedere come utente interno con privilegi elevati (non root) e utilizzare NETCONF per manipolare la configurazione del fabric SD-WAN.

Le agenzie di sicurezza di Stati Uniti, Regno Unito, Australia, Canada e Nuova Zelanda hanno confermato congiuntamente lo sfruttamento attivo, con prove che dimostrano che gli attori delle minacce stanno abusando di questa falla almeno dal 2023. Cisco ha collegato l'attività a un sofisticato cluster di intrusioni noto come UAT-8616.

Il CISA ha inoltre aggiunto la CVE all'elenco delle vulnerabilità sfruttate note (KEV), sottolineandone l'impatto operativo.

Prodotti interessati

La vulnerabilità interessa tutti i tipi di implementazione dei componenti Cisco Catalyst SD-WAN, indipendentemente dalla configurazione:

• Controllore Cisco Catalyst SD-WAN (vSmart)
• Cisco Catalyst SD-WAN Manager (vManage)
• Installazioni on-premise
• Cloud SD-WAN ospitato da Cisco
• Ambienti cloud SD-WAN gestiti da Cisco e FedRAMP
• Accesso al sistema senza autenticazione
• Accedere come utente interno con privilegi elevati
• Utilizzare NETCONF per modificare la configurazione SD-WAN
• Aggiungere peer SD-WAN non autorizzati
• Posizionarsi per un'ulteriore escalation dei privilegi (ad esempio, concatenandosi con CVE-2022-20775).
• Cisco ha confermato uno sfruttamento limitato ma reale della vulnerabilità.
• Le agenzie di intelligence riportano attività di sfruttamento che risalgono al 2023.
• L'attore della minaccia UAT-8616 ha sfruttato la vulnerabilità per aggiungere peer disonesti e mantenere l'accesso a lungo termine.
• Diversi centri nazionali di sicurezza informatica hanno emesso avvisi coordinati e una guida congiunta per la caccia alle minacce SD-WAN.
• 20.9.8.2
• 20.12.6.1
• 20.12.5.3
• 20.15.4.2
• 20.18.2.1
• Voci sospette in /var/log/auth.log, in particolare:
• Accettata chiave pubblica per vmanage-admin da IP sconosciuti
• Esaminare gli elenchi di IP del sistema di dispositivi di SD-WAN Manager per verificare eventuali modifiche inattese.
• Posizionare i componenti di gestione e controllo dietro firewall perimetrali rigorosi.
• Isolare le interfacce VPN 512
• Limitare gli IP dei dispositivi edge forniti manualmente
• Sostituire i certificati autofirmati
• Inoltrare i log a syslog remoto

Applicabile a:

Non esistono soluzioni e sono necessarie patch.

Riepilogo tecnico

Cosa può fare l'aggressore

Sfruttando la rottura del meccanismo di autenticazione del peering, un utente malintenzionato può:

Poiché SD-WAN si trova al centro del routing aziendale distribuito, l'accesso non autorizzato a questo livello offre agli aggressori una visibilità e un controllo profondi sui siti collegati.

Stato dell'exploit

Versioni software corrette

Cisco ha rilasciato aggiornamenti per tutti i principali treni di software SD-WAN. Gli utenti interessati devono eseguire l'aggiornamento alle versioni patchate come:

(dipende dal ramo software corrente)

I dispositivi che eseguono versioni precedenti alla 20.9.1 devono migrare a una release fissa.

Azioni consigliate

1. Applicare immediatamente la patch

Applicare immediatamente l'aggiornamento appropriato fornito da Cisco. Non sono supportati workaround.

2. Eseguire una ricerca mirata delle minacce

Le agenzie nazionali raccomandano di raccogliere istantanee, controllare i registri ed esaminare gli indicatori di compromissione. Gli elementi chiave includono:

• Voci sospette in /var/log/auth.log, in particolare:
• Chiave pubblica accettata per vmanage-admin da IP sconosciuti.
• Esame degli elenchi IP del sistema di dispositivi di SD-WAN Manager per verificare eventuali modifiche inattese.

3. Rafforzare l'esposizione della gestione SD-WAN

Seguire le indicazioni di Cisco per l'hardening di SD-WAN:

• Posizionare i componenti di gestione e controllo dietro firewall perimetrali rigorosi.
• Isolare le interfacce VPN 512
• Limitare gli IP dei dispositivi edge forniti manualmente.
• Sostituire i certificati autofirmati
• Inoltrare i log a un syslog remoto

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa,mettetevi in contattoperscoprire come potete proteggere la vostra organizzazione.