Cisco Catalyst SD-WAN aktív kihasználása
Az NCSC és a CISA, valamint más kiberbiztonsági szervezetek figyelmeztetése szerint egy sor aktív, valós célzott kiber-támadás zajlik világszerte, amelyben kihasználják a Cisco Catalyst SD-WAN rendszereiben talált kritikus hibákat, különösen a Cisco Catalyst SD-WAN Controller és Manager komponenseiben, hogy jogosulatlan hozzáférést szerezzenek a vállalati hálózatok fölött. Ezeket a rendszereket sok szervezet használja adatcentrumok, telephelyek és felhő-backbone-ok összekapcsolására, így kompromittálásuk széleskörű következményekkel járhat.
Egy új, hitelesítést megkerülő sérülékenység a CVE-2026-20127 és súlyos problémát okoz a Catalyst SD-WAN platformban, a hibát kihasználó támadók képesek egy rogue peer, azaz rosszindulatú hálózati csomópontot hozzáadni a SD-WAN vezérlőhöz, amit a rendszer legitim résznek néz, így a támadó strukturált, titkosított kontrollcsatornát alakíthat ki az infrastruktúra felett. Ezután a behatolók root-szintű jogosultságot is szerezhetnek, és tartós hozzáférést biztosíthatnak maguknak a hálózat kezeléséhez.
A hibát már aktívan kihasználják, a Cisco saját biztonsági részlege a Talos a tevékenységet UAT-8616 jelöléssel azonosította, és több országban már 2023 óta folyamatosan kimutatott támadásokról számoltak be. A támadási láncban több esetben korábban publikált, jogosultságnövelő sérülékenységet CVE-2022-20775 is bekapcsoltak, ami tovább növelte a támadók adminisztratív lehetőségeit a kompromittált SD-WAN vezérlőkben.
A NCSC és társszervezetek kidolgoztak egy Threat Hunt Guide útmutatót, amely részletezi, hogyan lehet jeleket keresni kompromittálódott vezérlőkben, valamint miként lehet a hálózati ellenőrző és vezérlőfelületeket megerősíteni és frissíteni a Cisco által kiadott javításokkal.
