VAROVANIE – Aktívne zneužívaná kritická zero-day zraniteľnosť v CISCO CATALYST SD-WAN.
Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred bezprostrednou hrozbou kybernetických bezpečnostných útokov na produkty CISCO CATALYST SD-WAN. V týchto produktoch boli identifikované kritické zero-day zraniteľnosti.
Keďže disponujeme informáciami, že zraniteľnosti v týchto produktoch sú aktuálne zneužívané na kompromitáciu systémov vo svete, vydávame varovanie podľa §27 ods. 1 písm. a) zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti.
Zraniteľnosť CVE-2026-20127
Bezpečnostná zraniteľnosť s identifikátorom CVE-2026-20127 spočíva v nedostatočnej implementácii mechanizmu autentifikácie peerov a vzdialený, neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek mohol zneužiť na obídenie mechanizmov autentifikácie, získanie neoprávneného prístupu do siete a vykonanie neoprávnených zmien umožňujúcich realizáciu ďalších útokov.
Cisco vydalo bezpečnostné aktualizácie CISCO CATALYST SD-WAN CONTROLLER a CISCO CATALYST SD-WAN MANAGER, ktoré opravujú aktívne zneužívanú kritickú zero-day zraniteľnosť.
Zraniteľnosť umožňuje prihlásenie pod vysoko privilegovaným používateľským účtom, prostredníctvom ktorého možno získať prístup k NETCONF a následne manipulovať sieťovú konfiguráciu SD-WAN. Úprava konfigurácie umožňuje pridanie škodlivého peer zariadenia, ktoré by mohlo vytvárať podvrhnuté siete a zariadenia riadené útočníkom a umožniť hlbší prienik do siete a realizáciu ďalších škodlivých aktivít.
Zraniteľnosť je podľa CISCO TALOS aktívne zneužívaná aktérom UAT-8616 minimálne od roku 2023. Útočník po prieniku do siete firmvér zariadenia downgraduje, aby mohol zneužiť staršiu zraniteľnosť CVE-2022-20775 na získanie administrátorského prístupu na úrovni používateľa ROOT a následne v rámci zahladenia stôp inštaluje pôvodnú verziu firmvéru. Americká CISA zraniteľnosť pridala do svojho zoznamu aktívne zneužívaných zraniteľností KEV (Known Exploited Vulnerabilities) a regulovaným subjektom nariadila urýchlené nasadenie opatrení na zabezpečenie týchto systémov a vyhodnotenie, či došlo k ich zneužitiu.
Možné následky
- Obídenie bezpečnostného prvku
- Neoprávnený prístup do systému
- Neoprávnená zmena v systéme
- Úplné narušenie dôvernosti, integrity a dostupnosti systému
Dotknuté systémy
-
- Cisco Catalyst SD-WAN vo verziách starších ako 20.9 – potrebná migrácia na vyššiu verziu
- Cisco Catalyst SD-WAN 20.9 – potrebná aktualizácia na verziu 20.9.8.2 (plánované vydanie 27.02.2026)
- Cisco Catalyst SD-WAN 20.11 – potrebná aktualizácia na verziu 20.12.6.1
- Cisco Catalyst SD-WAN 20.12.5 – potrebná aktualizácia na verziu 20.12.5.3
- Cisco Catalyst SD-WAN 20.12.6 – potrebná aktualizácia na verziu 20.12.6.1
- Cisco Catalyst SD-WAN 20.13 – potrebná aktualizácia na verziu 20.15.4.2
- Cisco Catalyst SD-WAN 20.14 – potrebná aktualizácia na verziu 20.15.4.2
- Cisco Catalyst SD-WAN 20.15 – potrebná aktualizácia na verziu 20.15.4.2
- Cisco Catalyst SD-WAN 20.16 – potrebná aktualizácia na verziu 20.18.2.1
- Cisco Catalyst SD-WAN 20.18 – potrebná aktualizácia na verziu 20.18.2.1
Odporúčané opatrenia
Prevádzkovateľom a administrátorom zraniteľných systémov sa dôrazne odporúča:
-
- izolovať Cisco Catalyst SD-WAN od internetu, nasadiť externé uchovávanie logov a zaistiť všetky dostupné digitálne artefakty pre ďalšiu analýzu: systémové a sieťové logy, forenzné obrazy disku a pamäte zariadenia, admin core dump zariadenia, kópie obsahu priečinka /home) . Bližšie informácie môžete nájsť online na:
CISA: Mitigate Vulnerabilities in Cisco SD-WAN Systems - vykonať úplnú reinštaláciu zariadenia, aktualizáciu na najnovšiu verziu firmvéru a rekonfiguráciu nastavení
- preveriť všetky dostupné logy a zaistené digitálne artefakty na prítomnosť IOC a pokusov o zneužitie uvedených zraniteľností podľa Threat Hunting návodov na:
- Active exploitation of Cisco Catalyst SD-WAN by UAT-8616
- CISA: Supplemental Direction ED 26-03: Hunt and Hardening Guidance for Cisco SD-WAN Systems
- CISCO SD-WAN Threat Hunt Guide
Zneužitie zraniteľnosti CVE-2026-20127 je možné preveriť analýzou /var/log/auth.log a kontrolou legitimity peering udalostí.
Zneužitie zraniteľnosti CVE-2022-20775 je možné preveriť analýzou /var/volatile/log/vdebug, /var/log/tmplog/vdebug a /var/volatile/log/sw_script_syncdb.log.
Taktiež je potrebné vykonať audit používateľských účtov. - vykonať dodatočný hardening systémov podľa návodov na:
- pokračovať vo zvýšenom monitoringu a periodickom threat huntingu známych indikátorov
- izolovať Cisco Catalyst SD-WAN od internetu, nasadiť externé uchovávanie logov a zaistiť všetky dostupné digitálne artefakty pre ďalšiu analýzu: systémové a sieťové logy, forenzné obrazy disku a pamäte zariadenia, admin core dump zariadenia, kópie obsahu priečinka /home) . Bližšie informácie môžete nájsť online na:
V prípade indikácie prieniku do systému odporúčame incident nahlásiť NCKB SK-CERT (v prípade PZS prostredníctvom JISKB) a odporúčame taktiež vytvoriť CISCO TAC (Technical Assistance Center) tiket.
Odkazy
- Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability
- Active exploitation of Cisco Catalyst SD-WAN by UAT-8616
- CISA: Supplemental Direction ED 26-03: Hunt and Hardening Guidance for Cisco SD-WAN Systems
- CISCO SD-WAN Threat Hunt Guide
- CISA: Mitigate Vulnerabilities in Cisco SD-WAN Systems
- Critical Cisco SD-WAN bug exploited in zero-day attacks since 2023
« Späť na zoznam
