英國國家網(wǎng)絡(luò)安全中心（NCSC）及其五眼聯(lián)盟合作機(jī)構(gòu)近期發(fā)出緊急警告，要求思科Catalyst軟件定義廣域網(wǎng)（SD-WAN）用戶立即采取行動(dòng)，因?yàn)橐寻l(fā)現(xiàn)針對(duì)這一廣泛使用產(chǎn)品的攻擊活動(dòng)集群。

這些攻擊活動(dòng)似乎具有無差別特征，但攻擊手法基本相同——威脅行為者在入侵成功后會(huì)添加惡意對(duì)等節(jié)點(diǎn)，隨后執(zhí)行后續(xù)行動(dòng)以獲得root訪問權(quán)限，并在受害者網(wǎng)絡(luò)中維持持續(xù)訪問。

NCSC首席技術(shù)官奧利·懷特豪斯表示："我們發(fā)布的新警報(bào)明確指出，使用思科Catalyst SD-WAN產(chǎn)品的組織應(yīng)緊急調(diào)查其網(wǎng)絡(luò)被入侵的風(fēng)險(xiǎn)，并搜尋惡意活動(dòng)跡象，利用與國際合作伙伴共同制定的新威脅搜尋建議來識(shí)別入侵證據(jù)。"

他補(bǔ)充道："強(qiáng)烈建議英國組織向NCSC報(bào)告入侵事件，并盡快應(yīng)用供應(yīng)商更新和安全加固指南，以降低被利用的風(fēng)險(xiǎn)。"

NCSC表示，這些攻擊活動(dòng)似乎可以追溯到2023年，思科現(xiàn)已修補(bǔ)了Catalyst SD-WAN管理器和控制器中的一系列漏洞。

這些問題中最主要且最受思科關(guān)注的是CVE-2026-20127，這是Catalyst SD-WAN中的身份驗(yàn)證繞過漏洞。

在安全公告中，思科表示該漏洞是由于受影響系統(tǒng)上對(duì)等身份驗(yàn)證機(jī)制的故障造成的。

思科說："攻擊者可以通過向受影響系統(tǒng)發(fā)送精心制作的請(qǐng)求來利用此漏洞。成功的攻擊可能使攻擊者以內(nèi)部高權(quán)限非root用戶賬戶登錄受影響的思科Catalyst SD-WAN控制器。利用此賬戶，攻擊者可以訪問NETCONF，這將允許攻擊者操縱SD-WAN架構(gòu)的網(wǎng)絡(luò)配置。"

"思科已發(fā)布解決此漏洞的軟件更新。沒有解決此漏洞的變通方法。"

將管理界面暴露于公共互聯(lián)網(wǎng)的組織似乎面臨最大的入侵風(fēng)險(xiǎn)——將管理界面暴露于互聯(lián)網(wǎng)是極其不明智的做法。

除了按照新發(fā)布的搜尋指南執(zhí)行威脅搜尋以尋找入侵證據(jù)外，安全團(tuán)隊(duì)還應(yīng)立即更新到Catalyst SD-WAN管理器和控制器的適當(dāng)修復(fù)最新版本，并應(yīng)用思科提供的思科Catalyst SD-WAN加固指南。

建議發(fā)現(xiàn)可能被入侵的英國組織立即從相關(guān)設(shè)備收集證據(jù)，并向NCSC報(bào)告。

在美國，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已發(fā)布并行緊急指令，指示政府組織在2月26日周四東部時(shí)間23:59（格林威治時(shí)間04:59）前采取行動(dòng)，并在周五17:00前完全應(yīng)用補(bǔ)丁。

威脅行為者瞄準(zhǔn)關(guān)鍵國家基礎(chǔ)設(shè)施運(yùn)營商

與此同時(shí)，思科威脅情報(bào)部門Talos一直在追蹤C(jī)VE-2026-20127的活躍利用，并將這一攻擊集群指定為UAT-8616。

Talos表示，考慮到其歷史活動(dòng)可追溯到2023年的廣泛程度，以及額外調(diào)查發(fā)現(xiàn)其黑客可能通過降級(jí)軟件版本然后利用Catalyst軟件命令行界面中的另一個(gè)漏洞CVE-2022-20775來升級(jí)到root用戶，之后再恢復(fù)到原始版本，因此確信UAT-8616是一個(gè)"高度復(fù)雜的網(wǎng)絡(luò)威脅行為者"。

Talos表示，UAT-8616展現(xiàn)了一種持續(xù)趨勢(shì)，即瞄準(zhǔn)網(wǎng)絡(luò)邊緣設(shè)備，以便在高價(jià)值組織（如關(guān)鍵國家基礎(chǔ)設(shè)施運(yùn)營商）中建立灘頭陣地。

雖然沒有直接歸因這些活動(dòng)，但對(duì)公用事業(yè)和類似組織的瞄準(zhǔn)可能表明UAT-8616得到了民族國家的支持。

Q&A

Q1：CVE-2026-20127漏洞具體有什么危害？

A：CVE-2026-20127是思科Catalyst SD-WAN中的身份驗(yàn)證繞過漏洞。攻擊者可以通過發(fā)送精心制作的請(qǐng)求，以高權(quán)限用戶身份登錄SD-WAN控制器，進(jìn)而訪問NETCONF并操縱整個(gè)SD-WAN架構(gòu)的網(wǎng)絡(luò)配置，獲得對(duì)企業(yè)網(wǎng)絡(luò)的控制權(quán)。

Q2：哪些組織最容易成為這次攻擊的目標(biāo)？

A：將管理界面暴露于公共互聯(lián)網(wǎng)的組織面臨最大風(fēng)險(xiǎn)。威脅行為者UAT-8616特別瞄準(zhǔn)高價(jià)值組織，如關(guān)鍵國家基礎(chǔ)設(shè)施（CNI）運(yùn)營商、公用事業(yè)公司等，通過攻擊網(wǎng)絡(luò)邊緣設(shè)備來建立攻擊據(jù)點(diǎn)。

Q3：企業(yè)應(yīng)該如何防護(hù)這次攻擊？

A：企業(yè)應(yīng)立即更新到思科Catalyst SD-WAN管理器和控制器的最新修復(fù)版本，應(yīng)用思科的安全加固指南，避免將管理界面暴露于互聯(lián)網(wǎng)，并按照威脅搜尋指南檢查網(wǎng)絡(luò)中是否存在入侵證據(jù)。如發(fā)現(xiàn)入侵跡象應(yīng)立即報(bào)告相關(guān)安全機(jī)構(gòu)。