思科Catalyst SD-WAN控制器（原vSmart）和Catalyst SD-WAN管理器（原vManage）中新披露的最高嚴(yán)重級(jí)別安全漏洞已在野外遭到惡意活動(dòng)的積極利用，這種攻擊活動(dòng)可追溯至2023年。

該漏洞編號(hào)為CVE-2026-20127（CVSS評(píng)分：10.0），允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過(guò)向受影響系統(tǒng)發(fā)送精心制作的請(qǐng)求來(lái)繞過(guò)身份驗(yàn)證并獲得管理特權(quán)。

成功利用該漏洞可使攻擊者在系統(tǒng)上獲得內(nèi)部高權(quán)限非根用戶賬戶的提升權(quán)限。

"此漏洞的存在是因?yàn)槭苡绊懴到y(tǒng)中的對(duì)等身份驗(yàn)證機(jī)制無(wú)法正常工作，"思科在公告中表示，并補(bǔ)充說(shuō)威脅行為者可以利用非根用戶賬戶訪問(wèn)NETCONF并操控SD-WAN架構(gòu)的網(wǎng)絡(luò)配置。

該缺陷影響以下部署類(lèi)型，不受設(shè)備配置影響：

本地部署

思科托管SD-WAN云

思科托管SD-WAN云-思科管理型

思科托管SD-WAN云-FedRAMP環(huán)境

思科感謝澳大利亞信號(hào)局的澳大利亞網(wǎng)絡(luò)安全中心（ASD-ACSC）報(bào)告了這一漏洞。這家網(wǎng)絡(luò)設(shè)備巨頭正在以UAT-8616的代號(hào)追蹤該利用行為和后續(xù)的入侵后活動(dòng)，將該集群描述為"高度復(fù)雜的網(wǎng)絡(luò)威脅行為者"。

該漏洞已在以下思科Catalyst SD-WAN版本中得到修復(fù)：

20.91版本之前-遷移至修復(fù)版本

20.9版本-20.9.8.2（預(yù)計(jì)2026年2月27日發(fā)布）

20.111版本-20.12.6.1

20.12.5版本-20.12.5.3

20.12.6版本-20.12.6.1

20.131版本-20.15.4.2

20.141版本-20.15.4.2

20.15版本-20.15.4.2

20.161版本-20.18.2.1

20.18版本-20.18.2.1

"暴露在互聯(lián)網(wǎng)上且有端口暴露在互聯(lián)網(wǎng)上的思科Catalyst SD-WAN控制器系統(tǒng)存在被入侵的風(fēng)險(xiǎn)，"思科警告說(shuō)。

該公司還建議客戶審計(jì)"/var/log/auth.log"文件，查找來(lái)自未知或未授權(quán)IP地址的"Accepted publickey for vmanage-admin"相關(guān)條目。還建議檢查auth.log日志文件中的IP地址是否與思科Catalyst SD-WAN管理器Web用戶界面中列出的已配置系統(tǒng)IP匹配。

根據(jù)ASD-ACSC發(fā)布的信息，UAT-8616據(jù)稱(chēng)自2023年起通過(guò)零日漏洞入侵思科SD-WAN，使其能夠獲得提升訪問(wèn)權(quán)限。

"該漏洞允許惡意網(wǎng)絡(luò)行為者創(chuàng)建一個(gè)流氓對(duì)等設(shè)備，加入組織SD-WAN的網(wǎng)絡(luò)管理平面或控制平面，"ASD-ACSC表示。"流氓設(shè)備表現(xiàn)為一個(gè)新的但臨時(shí)的、由行為者控制的SD-WAN組件，可以在管理和控制平面內(nèi)執(zhí)行受信任的操作。"

在成功入侵面向公眾的應(yīng)用程序后，攻擊者被發(fā)現(xiàn)利用內(nèi)置更新機(jī)制執(zhí)行軟件版本降級(jí)，并通過(guò)利用CVE-2022-20775（CVSS評(píng)分：7.8）——思科SD-WAN軟件CLI中的高嚴(yán)重級(jí)別權(quán)限提升漏洞——升級(jí)到根用戶，然后將軟件恢復(fù)到原來(lái)運(yùn)行的版本。

威脅行為者啟動(dòng)的后續(xù)步驟包括：

創(chuàng)建模仿其他本地用戶賬戶的本地用戶賬戶

為根訪問(wèn)添加安全外殼協(xié)議（SSH）授權(quán)密鑰，并修改SD-WAN相關(guān)啟動(dòng)腳本以自定義環(huán)境

使用端口830上的網(wǎng)絡(luò)配置協(xié)議（NETCONF）和SSH連接到管理平面內(nèi)的思科SD-WAN設(shè)備

通過(guò)清除"/var/log"下的日志、命令歷史記錄和網(wǎng)絡(luò)連接歷史記錄來(lái)清除入侵證據(jù)

"UAT-8616的嘗試?yán)帽砻骶W(wǎng)絡(luò)邊緣設(shè)備持續(xù)成為網(wǎng)絡(luò)威脅行為者的目標(biāo)，這些行為者試圖在高價(jià)值組織（包括關(guān)鍵基礎(chǔ)設(shè)施部門(mén)）中建立持久立足點(diǎn)，"Talos表示。

這一發(fā)展促使網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）將CVE-2022-20775和CVE-2026-20127都添加到其已知被利用漏洞（KEV）目錄中，要求聯(lián)邦民事執(zhí)行部門(mén)（FCEB）機(jī)構(gòu)在24小時(shí)內(nèi)應(yīng)用修復(fù)程序。

為了檢查版本降級(jí)和意外重啟事件，CISA建議分析以下日志：

/var/volatile/log/vdebug

/var/log/tmplog/vdebug

/var/volatile/log/sw_script_synccdb.log

CISA還發(fā)布了新的緊急指令26-03：緩解思科SD-WAN系統(tǒng)漏洞，作為該指令的一部分，要求聯(lián)邦機(jī)構(gòu)清點(diǎn)SD-WAN設(shè)備、應(yīng)用更新并評(píng)估潛在入侵。

為此，各機(jī)構(gòu)被要求在2026年2月26日東部時(shí)間晚11:59之前提供其網(wǎng)絡(luò)上所有范圍內(nèi)SD-WAN系統(tǒng)的目錄。此外，它們需要在2026年3月5日東部時(shí)間晚11:59之前提交所有范圍內(nèi)產(chǎn)品和已采取行動(dòng)的詳細(xì)清單。最后，各機(jī)構(gòu)必須在2026年3月26日東部時(shí)間晚11:59之前提交加固其環(huán)境所采取的所有步驟清單。

Q&A

Q1：CVE-2026-20127漏洞有多嚴(yán)重？會(huì)造成什么影響？

A：CVE-2026-20127是最高嚴(yán)重級(jí)別漏洞，CVSS評(píng)分達(dá)到10.0滿分。該漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者繞過(guò)身份驗(yàn)證獲得管理特權(quán)，成功利用后可在系統(tǒng)上獲得內(nèi)部高權(quán)限非根用戶賬戶，進(jìn)而訪問(wèn)NETCONF并操控SD-WAN網(wǎng)絡(luò)配置。

Q2：哪些思科SD-WAN產(chǎn)品受到CVE-2026-20127漏洞影響？

A：該漏洞影響思科Catalyst SD-WAN控制器（原vSmart）和Catalyst SD-WAN管理器（原vManage），涵蓋本地部署、思科托管SD-WAN云、思科托管SD-WAN云管理型以及FedRAMP環(huán)境等所有部署類(lèi)型，不受設(shè)備配置影響。

Q3：UAT-8616攻擊組織使用了什么攻擊手法？

A：UAT-8616自2023年起利用CVE-2026-20127零日漏洞入侵思科SD-WAN，創(chuàng)建流氓對(duì)等設(shè)備加入網(wǎng)絡(luò)管理平面。攻擊者還利用內(nèi)置更新機(jī)制執(zhí)行軟件降級(jí)，通過(guò)CVE-2022-20775漏洞升級(jí)到根用戶權(quán)限，并清除入侵痕跡。