Un val de atacuri care vizează infrastructura de rețea Cisco s-a intensificat în ultimele săptămâni, cercetătorii în securitate confirmând că multiple vulnerabilități dezvăluite de la sfârșitul lunii februarie sunt exploatate activ în mediul real — inclusiv una pe care un grup de ransomware a transformat-o în armă cu peste o lună înainte de a fi cunoscută public.
Amazon Threat Intelligence a dezvăluit miercuri că operațiunea de ransomware Interlock exploatase CVE-2026-20131, o vulnerabilitate cu severitate maximă în software-ul Cisco Secure Firewall Management Center, ca zero-day începând cu 26 ianuarie 2026 — cu 36 de zile înainte ca Cisco să o dezvăluie și să o remedieze pe 4 martie. “Nu a fost doar o altă exploatare de vulnerabilitate, Interlock avea un zero-day în mâini, oferindu-le un avans de săptămâni pentru a compromite organizații înainte ca echipele de apărare să știe măcar să caute”, a declarat CJ Moses, CISO al Amazon Integrated Security, într-o postare pe blog detaliind descoperirile.
Set de instrumente ransomware expus
Descoperirea a venit după ce Interlock a comis o gafă de securitate operațională: un server de testare configurat greșit a expus întregul set de instrumente de atac al grupului, incluzând troieni de acces la distanță personalizați scriși atât în JavaScript, cât și în Java, scripturi de recunoaștere și instrumente de mascare a infrastructurii destinate să obscurizeze originile atacatorilor. Vulnerabilitatea permite atacatorilor neautentificați să execute cod Java arbitrar cu drepturi de root pe dispozitivele afectate, exploatând deserializarea nesigură a datelor furnizate de utilizator.
Interlock, care a apărut în septembrie 2024, a revendicat anterior atacuri asupra DaVita, Kettering Health, sistemului universitar Texas Tech University System și orașului Saint Paul, Minnesota, conform BleepingComputer. Cisco a confirmat descoperirile, comunicând către BleepingComputer că și-a actualizat avizul de securitate și a îndemnat clienții să facă upgrade imediat.
Vulnerabilități SD-WAN exploatate de-a lungul anilor
Separat, Cisco și Australian Cyber Security Centre (parte a Australian Signals Directorate) au dezvăluit la sfârșitul lunii februarie că o vulnerabilitate critică SD-WAN, CVE-2026-20127, a fost exploatată de un actor de amenințare sofisticat, urmărit sub numele UAT-8616, cel puțin din 2023 — aproximativ trei ani înainte de descoperirea sa. Atacatorii au folosit vulnerabilitatea de bypass al autentificării pentru a se infiltra în controlerele SD-WAN, apoi au retrogradat software-ul sistemului pentru a exploata o vulnerabilitate mai veche, CVE-2022-20775, în scopul obținerii accesului root, înainte de a reveni la versiunea anterioară a software-ului pentru a evita detectarea.
La începutul lunii martie, Cisco a confirmat că două vulnerabilități SD-WAN suplimentare — CVE-2026-20128 și CVE-2026-20122 — au fost, de asemenea, exploatate activ. Cybersecurity and Infrastructure Security Agency a adăugat mai multe dintre aceste vulnerabilități în catalogul său Known Exploited Vulnerabilities, impunând agențiilor federale să aplice remedieri în termen de 24 de ore.
Dispozitivele de la marginea rețelei, sub asediu
Cascada de vulnerabilități Cisco subliniază ceea ce cercetătorii descriu ca fiind o tendință mai amplă a atacatorilor de a viza dispozitivele de la marginea rețelei. „Tentativa de exploatare a UAT-8616 indică o tendință continuă de vizare a dispozitivelor de la marginea rețelei de către actori cibernetici care caută să stabilească puncte de acces persistente în organizații de mare valoare, inclusiv în sectoarele infrastructurii critice”, a avertizat Cisco Talos. Agențiile de securitate cibernetică Five Eyes au emis o directivă de urgență privind vulnerabilitățile SD-WAN, solicitând aplicarea imediată a patch-urilor în rețelele guvernamentale și corporative.
Surse:
https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html