Säkerhetsrådgivning: CVE-2026-20127 - Cisco Catalyst SD-WAN-autentiseringsbypass

Cisco Catalyst SD-WAN-plattformar används i stor utsträckning av företag, myndigheter och tjänsteleverantörer och fungerar ofta som kärninfrastruktur som länkar samman fjärrkontor, datacenter och molnmiljöer. Eftersom dessa styrenheter ofta kan nås från externa nätverk för att stödja distribuerade operationer, utgör de ett mycket synligt och attraktivt mål för hotaktörer.

Cisco har avslöjat en kritisk sårbarhet för autentiseringsbypass, CVE-2026-20127, som påverkar både Cisco Catalyst SD-WAN Controller (tidigare vSmart) och Cisco Catalyst SD-WAN Manager (tidigare vManage). Felet har en CVSS-poäng på 10,0, vilket gör det möjligt för en oautentiserad angripare på distans att få åtkomst på administrativ nivå genom att skicka förfalskade förfrågningar till ett exponerat system.

Sårbarheten härrör från ett fel i autentiseringsprocessen för SD-WAN-peering, vilket effektivt bryter en kärnförtroendemekanism i kontrollplanet. När sårbarheten har utnyttjats kan en angripare logga in som en intern användare med höga privilegier (icke-root) och använda NETCONF för att manipulera konfigurationen av SD-WAN-fabriken.

Säkerhetsorgan i USA, Storbritannien, Australien, Kanada och Nya Zeeland har gemensamt bekräftat aktiv exploatering, med bevis som visar att hotaktörer har missbrukat denna brist sedan åtminstone 2023. Cisco har kopplat aktiviteten till ett sofistikerat intrångskluster som kallas UAT-8616.

CISA har också lagt till CVE i sin lista över kända exploaterade sårbarheter (KEV), vilket betonar dess operativa påverkan.

Berörda produkter

Sårbarheten påverkar alla distributionstyper av Cisco Catalyst SD-WAN-komponenter, oavsett konfiguration:

• Cisco Catalyst SD-WAN Controller (vSmart)
• Cisco Catalyst SD-WAN-hanterare (vManage)
• Installationer på plats
• Cisco-hostat SD-WAN-moln
• Cisco-hanterade moln- och FedRAMP SD-WAN-molnmiljöer
• Få åtkomst till systemet utan autentisering
• Logga in som en intern användare med höga privilegier
• Använd NETCONF för att ändra SD-WAN-konfigurationen
• Lägga till oseriösa SD-WAN-peers
• Positionera sig för ytterligare privilegieeskalering (t.ex. kedja med CVE-2022-20775)
• Cisco har bekräftat ett begränsat men verkligt utnyttjande av sårbarheten.
• Underrättelsetjänster rapporterar exploateringsaktivitet som sträcker sig tillbaka till 2023.
• Hotaktören UAT-8616 har använt sårbarheten för att lägga till oseriösa kamrater och upprätthålla långvarig åtkomst.
• Flera nationella cybersäkerhetscenter har utfärdat samordnade varningar och en gemensam SD-WAN Threat Hunt Guide.
• 20.9.8.2
• 20.12.6.1
• 20.12.5.3
• 20.15.4.2
• 20.18.2.1
• Misstänkta poster i /var/log/auth.log, särskilt:
• Accepterad offentlig nyckel för vmanage-admin från okända IP-adresser
• Granska SD-WAN Managers IP-listor för enhetssystem för oväntade ändringar
• Placera hanterings- och kontrollkomponenter bakom strikta perimeterbrandväggar
• Isolera VPN 512-gränssnitt
• Begränsa manuellt tillhandahållna IP-adresser för edge-enheter
• Ersätt självsignerade certifikat
• Vidarebefordra loggar till syslog på distans

Gäller för:

Det finns inga lösningar och patchning krävs.

Teknisk sammanfattning

Vad angriparen kan göra

Genom att utnyttja den trasiga autentiseringsmekanismen för peering kan en angripare:

Eftersom SD-WAN ligger i hjärtat av distribuerad företagsroutning ger obehörig åtkomst på detta lager angripare djup synlighet och kontroll över anslutna webbplatser.

Exploateringsstatus

Fixade programvaruversioner

Cisco har släppt uppdateringar för alla större SD-WAN-programvarutåg. Berörda användare måste uppgradera till uppdaterade versioner som t.ex:

(beror på aktuell programvarugren)

Enheter som kör versioner före 20.9.1 måste migrera till en fixad version.

Rekommenderade åtgärder

1. Patch omedelbart

Tillämpa lämplig Cisco-levererad uppdatering utan dröjsmål. Det finns inga lösningar som stöds.

2. Genomför riktad hotjakt

Nationella myndigheter rekommenderar att man samlar in ögonblicksbilder, kontrollerar loggar och granskar indikatorer på kompromisser. Viktiga objekt inkluderar:

• Misstänkta poster i /var/log/auth.log, särskilt:
• Accepterad offentlig nyckel för vmanage-admin från okända IP-adresser
• Granskning av SD-WAN Managers IP-listor för enhetssystem för oväntade ändringar

3. Stärk exponeringen för SD-WAN-hanteringen

Följ Ciscos riktlinjer för SD-WAN-härdning:

• Placera hanterings- och kontrollkomponenter bakom strikta perimeterbrandväggar
• Isolera VPN 512-gränssnitt
• Begränsa manuellt tillhandahållna IP-adresser för edge-enheter
• Ersätt självsignerade certifikat
• Vidarebefordra loggar till syslog på distans

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att fastställa vilka steg du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kontoansvarige,eller alternativtkontaktaoss förattta redapå hur du kan skydda din organisation.