Feb 26, 2026

Cisco SD-WAN zero-day CVE-2026-20127

CVSS 10.0 ranjivost u Cisco SD-WAN; hitna zakrpa

Sažetak

Cisco je objavio sigurnosno upozorenje i zakrpe za kritičnu zero-day ranjivost označenu kao CVE-2026-20127 s maksimalnim CVSS 10.0, koja pogađa Cisco Catalyst SD-WAN Controller i Catalyst SD-WAN Manager komponente. Ranjivost omogućuje neautentificiranom udaljenom napadaču zaobilaženje autentikacije i stjecanje administrativnih privilegija na pogođenom sustavu, čime se otvara mogućnost potpune kompromitacije mrežne infrastrukture.

Australski centar za kibernetičku sigurnost (ASD-ACSC), koji je ranjivost i prijavio, zajedno s CISA-om potvrdio je da sofisticirani napadač praćen pod oznakom UAT-8616 aktivno iskorištava ovu ranjivost od 2023. godine - gotovo tri godine prije javne objave. CISA je ranjivost uvrstila u katalog poznatih iskorištenih ranjivosti (KEV) te izdala hitnu direktivu 26-03 kojom od federalnih agencija zahtijeva primjenu zakrpa u roku od 24 sata.

Detalji

CVE-2026-20127 nastaje zbog nepravilne implementacije mehanizma autentikacije pri peer komunikaciji unutar SD-WAN upravljačke ravnine. Napadač bez ikakvih prethodnih vjerodajnica može slanjem posebno oblikovanog zahtjeva zaobići autentikaciju i steći privilegirani pristup kao interni, visokoprivilegirani non-root korisnički račun. Iz tog konteksta napadač može pristupiti NETCONF protokolu i direktno manipulirati mrežnom konfiguracijom cijelog SD-WAN okruženja. Ranjivost pogađa sve tipove implementacije bez iznimke; on-premises, Cisco Hosted SD-WAN Cloud te FedRAMP okruženja - neovisno o konfiguraciji pojedinog uređaja.

Budući da SD-WAN rješenja predstavljaju centralnu točku upravljanja prometom između udaljenih lokacija, podatkovnih centara i cloud okruženja, kompromitacija ovakvog uređaja ima iznimno visok strateški utjecaj. Uspješan napad može omogućiti izvršavanje naredbi s povišenim privilegijama, izmjenu mrežne konfiguracije, presretanje ili preusmjeravanje prometa te postavljanje mehanizama za trajni pristup. Time ranjivost prelazi iz pojedinačnog tehničkog problema u strateški sigurnosni rizik za cijelu organizaciju.

Ono što ovu ranjivost čini posebno ozbiljnom jest činjenica da je UAT-8616, kojeg Cisco Talos opisuje kao visoko sofisticiranog napadača s fokusom na kritičnu infrastrukturu, koristio eksploataciju za spajanje lažnog SD-WAN čvora u upravljačku i kontrolnu ravninu organizacije. Taj lažni uređaj privremeno se pojavljuje kao legitimna SD-WAN komponenta s punim povjerenjem unutar infrastrukture, što mu omogućuje izvršavanje povlaštenih radnji bez pokretanja uobičajenih sigurnosnih alarma.

Nakon inicijalnog pristupa napadači prelaze na drugu fazu koja ukazuje na duboko poznavanje Cisco SD-WAN arhitekture. Korištenjem ugrađenog mehanizma ažuriranja namjerno provode downgrade verzije softvera na stariju, ranjivu inačicu te iskorištavaju CVE-2022-20775, ranjivost eskalacije privilegija u CLI sučelju Cisco SD-WAN softvera s CVSS ocjenom 7.8 - kako bi se podigli na razinu root korisnika. Nakon toga softver se vraća na originalnu verziju, čime se otežava detekcija i forenzička analiza.

Jednom kada su postigli root pristup, napadači provode niz radnji usmjerenih na dugotrajnu perzistenciju i prikrivanje tragova. Kreiraju lokalne korisničke račune koji imitiraju legitimne sistemske korisnike, dodaju SSH autorizirane ključeve za trajni root pristup te modificiraju SD-WAN startup skripte. Za bočno kretanje unutar infrastrukture koriste NETCONF protokol na portu 830 i SSH veze između SD-WAN uređaja, a na kraju sustavno brišu logove u /var/log, command history i evidenciju mrežnih veza kako bi minimizirali forenzički trag.

Cisco upozorava da su posebno izloženi sustavi čiji su upravljački portovi direktno dostupni s interneta. Uzimajući u obzir trogodišnje razdoblje aktivne eksploatacije, organizacije koje koriste Cisco SD-WAN infrastrukturu trebaju pretpostaviti potencijalnu kompromitaciju i pristupiti istrazi sukladno tome, primjena zakrpe sama po sebi nije dovoljna.

Pogođene verzije

Verzije starije od 20.9 zahtijevaju migraciju na ispravnu verziju. Zakrpe su dostupne za verzije 20.9.x, 20.12.x, 20.15.x i 20.18.x - konkretni fix releasi navedeni su u Cisco Security Advisory.

Preporuke

• Hitno primijeniti dostupna sigurnosna ažuriranja za sve pogođene verzije Cisco Catalyst SD-WAN

• Identificirati sve SD-WAN uređaje izložene internetu i odmah ograničiti pristup upravljačkim sučeljima na pouzdane IP adrese

• Pregledati /var/log/auth.log i potražiti unose Accepted publickey for vmanage-admin s nepoznatih IP adresa te usporediti pronađene adrese s konfiguriranim System IP adresama u SD-WAN Manager WebUI-u

• Analizirati logove /var/volatile/log/vdebug, /var/log/tmplog/vdebug i /var/volatile/log/sw_script_synccdb.log radi provjere neočekivanih verzijskih promjena i neplaniranih ponovnih pokretanja sustava

• Pregledati lokalne korisničke račune i SSH authorized keys radi identifikacije neovlaštenih unosa

• Implementirati segmentaciju između upravljačke i podatkovne ravnine te pojačati nadzor kroz SIEM i IDS sustave radi detekcije sumnjivih aktivnosti povezanih s SD-WAN prometom

• Provesti forenzičku provjeru svih sustava koji su bili dostupni s interneta, uzimajući u obzir trogodišnje razdoblje aktivne eksploatacije