Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

SK-CERT Bezpečnostné varovanie V20260226-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
 10.0
Identifikátor
Cisco Catalyst SD-WAN – aktívne zneužívaná kritická zero-day zraniteľnosť
Popis
Cisco vydalo bezpečnostné aktualizácie CISCO CATALYST SD-WAN CONTROLLER a CISCO CATALYST SD-WAN MANAGER, ktoré opravujú aktívne zneužívanú kritickú zero-day zraniteľnosť.
Bezpečnostná zraniteľnosť s identifikátorom CVE-2026-20127 spočíva v nedostatočnej implementácii mechanizmu autentifikácie peerov a vzdialený, neautentifikovaný útočník by ju zaslaním špeciálne vytvorených požiadaviek mohol zneužiť na obídenie mechanizmov autentifikácie, získanie neoprávneného prístupu do siete a vykonanie neoprávnených zmien umožňujúcich realizáciu ďalších útokov.

Zraniteľnosť umožňuje prihlásenie pod vysoko privilegovaným používateľským účtom, prostredníctvom ktorého možno získať prístup k NETCONF a následne manipulovať sieťovú konfiguráciu SD-WAN. Úprava konfigurácie umožňuje pridanie škodlivého peer zariadenia, ktoré by mohlo vytvárať podvrhnuté siete a zariadenia riadené útočníkom a umožniť hlbší prienik do siete a realizáciu ďalších škodlivých aktivít.

Zraniteľnosť je podľa CISCO TALOS aktívne zneužívaná aktérom UAT-8616 minimálne od roku 2023. Útočník po prieniku do siete firmvér zariadenia downgraduje, aby mohol zneužiť staršiu zraniteľnosť CVE-2022-20775 na získanie administrátorského prístupu na úrovni používateľa ROOT a následne v rámci zahladenia stôp inštaluje pôvodnú verziu firmvéru. Americká CISA zraniteľnosť pridala do svojho zoznamu aktívne zneužívaných zraniteľností KEV (Known Exploited Vulnerabilities) a regulovaným subjektom nariadila urýchlené nasadenie opatrení na zabezpečenie týchto systémov a vyhodnotenie, či došlo k ich zneužitiu.
Dátum prvého zverejnenia varovania
25.2.2026
CVE
CVE-2026-20127
IOC
Zasiahnuté systémy
Cisco Catalyst SD-WAN vo verziách starších ako 20.9 – potrebná migrácia na vyššiu verziu
Cisco Catalyst SD-WAN 20.9 – potrebná aktualizácia na verziu 20.9.8.2 (plánované vydanie 27.02.2026)
Cisco Catalyst SD-WAN 20.11 – potrebná aktualizácia na verziu 20.12.6.1
Cisco Catalyst SD-WAN 20.12.5 – potrebná aktualizácia na verziu 20.12.5.3
Cisco Catalyst SD-WAN 20.12.6 – potrebná aktualizácia na verziu 20.12.6.1
Cisco Catalyst SD-WAN 20.13 – potrebná aktualizácia na verziu 20.15.4.2
Cisco Catalyst SD-WAN 20.14 – potrebná aktualizácia na verziu 20.15.4.2
Cisco Catalyst SD-WAN 20.15 – potrebná aktualizácia na verziu 20.15.4.2
Cisco Catalyst SD-WAN 20.16 – potrebná aktualizácia na verziu 20.18.2.1
Cisco Catalyst SD-WAN 20.18 – potrebná aktualizácia na verziu 20.18.2.1
Následky
Obídenie bezpečnostného prvku
Neoprávnený prístup do systému
Neoprávnená zmena v systéme
Úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania
Prevádzkovatelia základnej služby a administrátori zraniteľných systémov musia:

1. izolovať Cisco Catalyst SD-WAN od internetu, nasadiť externé uchovávanie logov a zaistiť všetky dostupné digitálne artefakty pre ďalšiu analýzu: systémové a sieťové logy, forenzné obrazy disku a pamäte zariadenia, admin core dump zariadenia, kópie obsahu priečinka /home) . Bližšie informácie môžete nájsť online na:
– https://www.cisa.gov/news-events/directives/ed-26-03-mitigate-vulnerabilities-cisco-sd-wan-systems

2. vykonať úplnú reinštaláciu zariadenia, aktualizáciu na najnovšiu verziu firmvéru a rekonfiguráciu nastavení

3. preveriť všetky dostupné logy a zaistené digitálne artefakty na prítomnosť IOC a pokusov o zneužitie uvedených zraniteľností podľa Threat Hunting návodov na:
– https://blog.talosintelligence.com/uat-8616-sd-wan/
– https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems
– https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf

Zneužitie zraniteľnosti CVE-2026-20127 je možné vykonať analýzou /var/log/auth.log a kontrolou legitimity peering udalostí. Zneužitie zraniteľnosti CVE-2022-20775 je možné preveriť analýzou /var/volatile/log/vdebug, /var/log/tmplog/vdebug a /var/volatile/log/sw_script_syncdb.log. Taktiež je potrebné vykonať audit používateľských účtov.

4. vykonať dodatočný hardening systémov podľa návodov na:
– https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems
– https://sec.cloudapps.cisco.com/security/center/resources/Cisco-Catalyst-SD-WAN-HardeningGuide

5. pokračovať vo zvýšenom monitoringu a periodickom threat huntingu známych indikátorov

V prípade indikácie prieniku do systému je potrebné incident nahlásiť NCKB SK-CERT (v prípade PZS prostredníctvom JISKB) a odporúčame taktiež vytvoriť CISCO TAC (Technical Assistance Center) tiket.
Zdroje
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
https://blog.talosintelligence.com/uat-8616-sd-wan/
https://www.cisa.gov/news-events/directives/ed-26-03-mitigate-vulnerabilities-cisco-sd-wan-systems
https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems
https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/

« Späť na zoznam
Našli ste na stránke chybu?

Dôležité odkazy

Národný bezpečnostný úrad
ENISA
FIRST
TF-CSIRT

Copyright © 2026 Všetky práva vyhradené - Posledná aktualizácia 02. 03. 2026 09:12