思科Catalyst SD-WAN严重认证绕过漏洞遭长期入侵,可植入恶意节点控制网络
好的,我现在需要帮用户总结这篇文章的内容,控制在100字以内。首先,我得仔细阅读文章,抓住关键点。 文章主要讲的是思科的Catalyst SD-WAN系统存在一个严重的漏洞,编号是CVE-2026-20127。这个漏洞已经被零日攻击利用了,攻击者可以远程控制控制器,添加恶意节点,进而控制整个网络。漏洞的评分是10.0,属于最高风险。 思科已经发布了修复补丁,并且CISA也发布了紧急指令,要求联邦机构在特定时间内安装补丁。文章还提到了一些入侵指标和应对措施,比如检查日志、加固系统等。 接下来,我需要把这些信息浓缩到100字以内。要确保包含漏洞名称、影响、攻击后果、修复方法以及CISA的行动。同时,语言要简洁明了。 可能的结构是:思科发现严重漏洞→已被利用→影响范围→修复措施→CISA行动。这样就能在有限字数内传达所有关键信息。 </think> 思科发现严重认证绕过漏洞CVE-2026-20127已被零日攻击利用,允许攻击者远程控制SD-WAN控制器并植入恶意节点。该漏洞影响本地和云部署环境,风险等级最高。思科已发布修复补丁,并敦促用户立即升级至已修复版本以彻底解决漏洞问题。 2026-2-28 04:0:0 Author: www.4hou.com(查看原文) 阅读量:8 收藏

胡金鱼 漏洞 2小时 前发布

1728

收藏

导语:升级至已修复版本是彻底解决 CVE-2026-20127高危漏洞 的唯一方式。

思科发布安全预警,称其 Cisco Catalyst SD-WAN 存在一处编号为 CVE-2026-20127 的严重认证绕过漏洞,该漏洞已在零日攻击中被主动利用,攻击者可远程攻陷控制器,并在目标网络中添加恶意非法对等节点。

CVE-2026-20127 漏洞风险等级为最高 10.0 分,影响本地部署与云部署环境中的 Cisco Catalyst SD-WAN Controller(原 vSmart)与 Cisco Catalyst SD-WAN Manager(原 vManage)。 

在思科发布的关于 CVE-2026-20127 的最新公告指出:“该漏洞的成因是受影响系统中的对等节点认证机制未能正常工作。攻击者可通过向受影响系统发送精心构造的请求实施利用。

成功利用后,攻击者能够以内部高权限非 root 用户身份登录受影响的 Cisco Catalyst SD-WAN 控制器,并借助该账户访问 NETCONF 接口,进而篡改整个 SD-WAN 架构的网络配置。

Cisco Catalyst SD-WAN 是一款软件定义网络平台,通过集中管理系统连接分支机构、数据中心与云环境,由控制器对站点间流量进行加密安全转发。 

通过添加非法对等节点,攻击者可将一台看似合法的恶意设备接入 SD-WAN 环境。该设备可建立加密连接、宣告由攻击者控制的网络路由,进而向企业内网深度渗透。 

思科 Talos 团队在另一份公告中证实,该漏洞已被在野攻击利用,相关恶意活动编号为 UAT-8616。评估显示,该攻击由高度专业化的恶意组织实施。

监测数据显示,相关利用行为最早可追溯至 2023 年。情报信息表明,攻击者可能通过以下方式提权至 root:

1. 将系统降级至旧版本;

2. 利用 CVE-2022-20775 获取 root 权限;

3. 再恢复至原固件版本。 

攻击完成后回退版本,可在获取 root 权限的同时规避检测。

2 月 25 日,美国网络安全与基础设施安全局(CISA)发布紧急指令 26-03,要求联邦行政机构对 Cisco SD-WAN 系统开展资产清查、收集取证痕迹、开启日志外存、安装补丁更新,并排查与 CVE-2026-20127 和 CVE-2022-20775 相关的入侵痕迹。 

CISA 表示,该漏洞利用行为对联邦网络构成紧迫威胁,要求相关设备必须在 2026 年 2 月 27 日 17:00 前完成补丁安装。

CISA 与英国国家网络安全中心(NCSC)联合发布的排查与加固指南表示:全球范围内的 Cisco Catalyst SD-WAN 部署正成为攻击目标,恶意分子通过添加非法对等节点,进一步获取 root 权限并实现持久化控制。

多份公告均强调:SD-WAN 管理接口严禁直接暴露在互联网,并敦促机构立即更新与加固受影响系统。使用 Cisco Catalyst SD-WAN 的机构应紧急排查网络入侵风险,结合发布的威胁狩猎指南,识别入侵痕迹。

目前,思科已发布修复该漏洞的软件更新,并表示不存在可完全缓解该漏洞的临时解决方案。

入侵指标(IOC)

安全研究人员强烈建议相关机构仔细审查暴露在公网的 Catalyst SD-WAN 控制器日志,重点关注未授权对等节点事件与可疑认证行为。

建议管理员检查 /var/log/auth.log,关注来自未知 IP 地址的如下日志:

示例日志:

2026-02-10T22:51:36+00:00 vm  sshd[804]: Accepted publickey for vmanage-admin from [REDACTED IP] port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]

管理员应将异常 IP 与 SD-WAN Manager 中配置的系统 IP、已知管理与控制器基础设施地址比对。若出现未知 IP 成功认证,应视为设备已沦陷,并及时联系思科 TAC 支持。 

Talos 与官方公告还列出更多入侵指标:

·恶意账户的创建与删除

·异常 root 登录

·vmanage-admin 或 root 账户下出现未授权 SSH 密钥

·启用 PermitRootLogin 等配置篡改

管理员还应关注:

·日志文件异常偏小或缺失(可能为日志篡改)

·软件降级与重启行为(可能为利用 CVE-2022-20775 提权)

CISA 建议通过以下日志排查 CVE-2022-20775 利用痕迹:

·/var/volatile/log/vdebug
·/var/log/tmplog/vdebug
·/var/volatile/log/sw_script_synccdb.log

CISA 排查指南要求机构收集取证数据(包括管理员核心转储、用户家目录),并确保日志外存以防篡改。若 root 账户已沦陷,建议重新全新部署系统,而非尝试清理现有环境。企业还应将异常对等节点事件、不明控制器行为为入侵信号并立即调查,如:

·限制网络暴露面

·将 SD-WAN 控制组件部署在防火墙后

·隔离管理接口

·日志转发至外部系统

·遵循思科官方加固指南 

根据思科最新公告显示,升级至已修复版本是彻底解决 CVE-2026-20127 高危漏洞 的唯一方式。

文章来源自:https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/如若转载,请注明原文地址

  • 分享至
  •

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/vwNM
如有侵权请联系:admin#unsafe.sh