思科 Talos 发布最高级别安全预警,针对 CVE-2026-20127 漏洞发起主动攻击利用告警。该漏洞影响思科 Catalyst SD-WAN 控制器,CVSS 评分 10.0,允许未授权远程攻击者完全绕过身份认证。
问题核心出在思科 Catalyst SD-WAN 控制器(原 vSmart)与管理器(原 vManage)中存在缺陷的对等认证机制。攻击者通过构造精心设计的请求,即可绕过该机制登录受影响系统。
一旦入侵成功,攻击者将获得内部高权限非 root 管理员权限。凭借该权限,攻击者可访问 NETCONF 接口,实现对整个 SD-WAN 网络配置的完全操控。
思科 Talos 将相关攻击活动归类为 UAT-8616 团伙,并高度确信其为高水准的专业网络威胁组织。
更令人警惕的是,证据显示此类恶意活动已持续至少三年,最早可追溯至 2023 年。这也符合当前威胁组织针对关键基础设施等高价值目标,长期潜伏网络边界设备的典型趋势。
为将权限提升至 root,UAT-8616 使用了一套隐蔽的组合攻击手法:
- 攻击者在已攻陷设备上执行软件版本降级
- 随后利用旧版漏洞 CVE-2022-20775
- 最后恢复原始软件版本,隐蔽维持 root 权限
企业必须重点审计思科 Catalyst SD-WAN 日志中异常的控制连接对等事件,这是通过 CVE-2026-20127 发起初始入侵的典型特征。此类行为需人工复核,才能区分正常操作与潜在入侵行为。
安全团队应重点排查以下 UAT-8616 入侵高可信度指标:
- 生产系统中出现交互式 root 会话,包含不明 SSH 密钥与已知主机记录
- 出现针对
vmanage-admin账户的未授权 SSH 密钥 - 日志被篡改痕迹:如
syslog、wtmp、lastlog、cli-history、bash_history等文件异常缩小或被清空 - 设备出现未授权的版本升降级并伴随系统重启
目前暂无可用的软件级临时缓解方案。
思科托管云环境(含思科托管版与 FedRAMP 环境)已部署防护措施。
本地部署环境的用户必须加固控制器间通信。
思科建议使用访问控制列表(ACL) 或防火墙规则,严格限制 22 端口与 830 端口,仅允许可信控制器与 IP 地址访问。
思科强烈建议所有用户升级至已修复版本以彻底解决该漏洞。目前已有多个补丁可用,更多版本将陆续发布:
思科 Catalyst SD-WAN 修复版本对照表
| 发行版本 | 首个修复版本 |
|---|---|
| 早于 20.9 | 迁移至修复版本 |
| 20.9 | 20.9.8.2(预计 2026 年 2 月 27 日发布) |
| 20.11、20.12.5、20.12.6 | 20.12.5.3 / 20.12.6.1 |
| 20.13、20.14、20.15 | 20.15.4.2 |
| 20.16、20.18 | 20.18.2.1 |
发表评论
您还未登录,请先登录。
登录