Cisco предупреждава за критична уязвимост CVE-2026-20127 в Cisco Catalyst SD-WAN, която е активно използвана в zero-day атаки. Уязвимостта позволява на отдалечени нападатели да компрометират контролери и да добавят зловредни rogue peers в целевите мрежи, което създава реална заплаха за контрол и проникване в корпоративни и правителствени SD-WAN инфраструктури.

Засегнати са Catalyst SD-WAN Controller (преди vSmart) и SD-WAN Manager (преди vManage) както при on-prem, така и в SD-WAN Cloud инсталации. Уязвимостта получава максимална CVSS оценка 10.0. Cisco признава благодарност на австралийската служба за киберсигурност Australian Cyber Security Centre за докладването ѝ.

Как функционира уязвимостта

Проблемът се крие в неправилно работещ механизъм за автентикация при peering. Успешното експлоатиране позволява на нападателя да влезе в SD-WAN контролера като вътрешен потребител с високи привилегии, без root права. Това предоставя достъп до NETCONF, чрез който атакуващият може да манипулира конфигурацията на SD-WAN мрежата.

Добавянето на rogue peer позволява на зловредно устройство да се представя за легитимен участник, като установява шифровани връзки и рекламира мрежи под контрола на нападателя, което улеснява по-нататъшно проникване и постоянен контрол.

Активни експлоатации и UAT-8616

Според Cisco Talos, уязвимостта е активно експлоатирана в операции, следени като UAT-8616, вероятно от високо квалифициран заподозрян атакуващ. Телеметрията показва, че експлоатацията датира поне от 2023 г., като атакуващите ескалират до root чрез downgrade на софтуер и използване на CVE-2022-20775, след което връщат оригиналната версия, за да избегнат засичане.

Действия на правителствата и CISA

На 25 февруари 2026 г. CISA издаде Emergency Directive 26-03, изискваща федералните агенции да:

• Инвентаризират Cisco SD-WAN системи

• Събират форензични артефакти и осигурят външно съхранение на логове

• Приложат актуализации и разследват потенциални компрометации, свързани с CVE-2026-20127 и CVE-2022-20775

Крайният срок за прилагане на пачовете беше 27 февруари 2026 г., поради непосредствената заплаха за федерални мрежи.

Препоръки за сигурност и индикатори на компрометиране

Cisco и Talos препоръчват:

• Проверка на логовете на интернет-експонирани контролери за неразрешени peering събития и подозрителна автентикация

• Oдит на /var/log/auth.log за записи като Accepted publickey for vmanage-admin от неизвестни IP адреси

• Сравняване на IP адреси с конфигурираните System IPs и известна инфраструктура

• Следене за неочаквани root логини, промяна на SSH ключове, PermitRootLogin и малки/липсващи лог файлове

• Разследване на downgrade и reboot събития, за да се открие експлоатация на CVE-2022-20775

CISA и NCSC препоръчват:

• Поставяне на SD-WAN контролери зад защитни стени

• Изолация на управленски интерфейси

• Препращане на логове към външни системи

• Прилагане на насоките за hardening на Cisco

• Ако root акаунт е компрометиран – използване на свежи инсталации, вместо почистване на съществуващата инфраструктура

Единствената сигурна мярка за пълно отстраняване на CVE-2026-20127 е надграждане до фиксиран софтуерен релийз, тъй като няма изцяло ефективен workaround.