Cisco potvrdilo aktivní zneužívání dalších zranitelností v platformě Catalyst SD-WAN
Bezpečnostní situace kolem Cisco Catalyst SD-WAN se v průběhu první březnové dekády dále zhoršila. Zatímco zero-day zranitelnost CVE-2026-20127 (CVSS 10.0) byla zveřejněna 25. února, Cisco 5. března potvrdilo aktivní zneužití dvou dalších zranitelností – CVE-2026-20122 a CVE-2026-20128 – v Cisco Catalyst SD-WAN Manager.
CVE-2026-20127 umožňuje neautentizovanému vzdálenému útočníkovi obejít autentizaci a získat administrátorská oprávnění v SD-WAN Controlleru a Manageru. Cisco Talos útočnou skupinu sleduje pod označením UAT-8616 a hodnotí ji jako vysoce sofistikovaného aktéra, jehož aktivita sahá nejméně do roku 2023. Po průniku útočníci downgradujou software zařízení, aby mohli zneužít starší zranitelnost CVE-2022-20775 (eskalace oprávnění na root), a do sítě přidávají falešná SD-WAN zařízení k dalšímu pohybu.
CVE-2026-20122 umožňuje autentizovanému útočníkovi přepsat libovolné soubory na systému. CVE-2026-20128 umožňuje lokálnímu útočníkovi získat oprávnění agenta pro sběr dat. Bezpečnostní firma watchTowr zaznamenala největší nárůst pokusů o zneužití 4. března z mnoha různých IP adres z celého světa.
CISA vydala Emergency Directive ED-26-03 a spolu s NSA a kybernetickými agenturami Austrálie, Kanady, Nového Zélandu a Velké Británie zveřejnila společný alert a průvodce pro detekci kompromitace. Správci Cisco Catalyst SD-WAN systémů by měli neprodleně aplikovat dostupné záplaty (verze 20.91 a novější), provést audit autentizačních logů a ověřit, zda nedošlo ke kompromitaci. Zranitelnosti nemají žádná náhradní opatření – záplata je jediným řešením.
Zdroj
Další články
Microsoft Patch Tuesday: 83 záplat, dva veřejně známé zero-day
Útočníci zneužívají firewally FortiGate k průnikům do sítí a krádeži přihlašovacích údajů
