Cisco a actualizat un aviz de securitate pe 4 martie pentru a avertiza că două vulnerabilități suplimentare ale Catalyst SD-WAN Manager sunt acum exploatate activ în mod real, escaladând o criză care a început când compania a dezvăluit o vulnerabilitate critică de bypass de autentificare la sfârșitul lunii februarie.
Activitate nouă de exploatare
„În martie 2026, Cisco PSIRT a luat la cunoștință despre exploatarea activă a vulnerabilităților descrise în CVE-2026-20128 și CVE-2026-20122,” a declarat compania în avizul actualizat, adăugând că „vulnerabilitățile descrise în celelalte CVE-uri din acest aviz nu sunt cunoscute ca fiind compromise.”
CVE-2026-20122 este o vulnerabilitate de suprascriere arbitrară a fișierelor în API-ul SD-WAN Manager, care permite unui atacator la distanță cu credențiale valide de citire să încarce fișiere malițioase și să obțină privilegii elevate de utilizator vmanage. CVE-2026-20128 este o vulnerabilitate de gravitate medie de dezvăluire a informațiilor legată de credențiale codificate în funcționalitatea Data Collection Agent, permițând atacatorilor locali autentificați să escaladeze privilegii și să se deplaseze lateral între nodurile SD-WAN.
Ambele vulnerabilități afectează versiunile Catalyst SD-WAN Manager anterioare 20.18, iar Cisco a declarat că nu există soluții alternative — actualizarea la o versiune corectată este singura modalitate de atenuare.
O campanie în expansiune
Vulnerabilitățile recent exploatate se adaugă la consecințele CVE-2026-20127, o vulnerabilitate de bypass de autentificare cu scor CVSS 10.0 în mecanismul de peering SD-WAN, dezvăluită pe 25 februarie. Cisco Talos a atribuit această exploatare unui actor de amenințare urmărit sub numele UAT-8616, evaluat cu grad ridicat de certitudine ca fiind un grup sofisticat, sponsorizat de un stat, care exploatează această vulnerabilitate încă din 2023.
Lanțul de atac observat în context real este notabil pentru disciplina sa operațională. Atacatorii au folosit CVE-2026-20127 pentru a ocoli autentificarea și a injecta peer-i frauduloși în fabricile SD-WAN vizate, apoi au retrogradat deliberat firmware-ul pentru a reintroduce o vulnerabilitate de escaladare a privilegiilor din 2022 (CVE-2022-20775), au obținut acces root și au restaurat versiunea software-ului patch-uit pentru a-și acoperi urmele. Investigatorii criminalistici au descoperit ștergere deliberată de jurnale și eliminare a istoricului de comenzi pe toate sistemele compromise.
Răspunsul Federal
CISA a emis Directiva de Urgență 26-03 la sfârșitul lunii februarie, obligând toate agențiile civile federale să inventarieze infrastructura Cisco SD-WAN, să colecteze artefacte forensice, inclusiv instantanee virtuale și jurnale, să aplice toate patch-urile disponibile și să caute activ semne de compromitere. Furnizorii de servicii cloud FedRAMP au avut termen limită până pe 27 februarie pentru a aplica actualizările furnizate de Cisco.
CISA a avertizat că vulnerabilitățile permit atacatorilor să obțină acces profund la planurile de management și control ale rețelei și să se deplaseze lateral în mediile compromise. Agenția a recomandat izolarea interfețelor de management SD-WAN în VLAN-uri interne, implementarea firewall-urilor care permit doar adresele IP ale componentelor cunoscute și limitarea timpilor de inactivitate a sesiunilor la cinci minute.
Surse:
https://www.sentinelone.com/vulnerability-database/cve-2026-20128/