Cisco hat Netzwerkmanager alarmiert: eine kritische Schwachstelle der Authentifizierungs-Omission in Cisco Catalyst SD-WAN, registriert als CVE-2026-20127, wurde in Zero-Day-Angriffen verwendet, die Remote-Angreifer erlaubten, Controller zu verpflichten und falsche Paare zu SD-WAN-Infrastruktur hinzuzufügen. Der Ausfall erhält eine maximale Schwere (CVSS 10.0) und betrifft sowohl die Treiber (vor vSmart) als auch die Managementkonsolen (vor vManage) in On-Premises und in der von Cisco verwalteten Cloud. Die offizielle Mitteilung von Cisco ist hier verfügbar: Cisco CVE-2026-20127 Beratung.
Nach der technischen Anmerkung von Cisco liegt die Ursache des Problems im Peer Authentifizierungsmechanismus (Peering), der nicht richtig funktioniert und speziell manipulierte Anträge auf Überschreitung der üblichen Validierungen erlaubt. In der Praxis kann eine erfolgreiche Explosion Zugang zu einem hochprivileg (nicht-root) internen Konto auf dem Controller geben, von dem der Angreifer NETCONF verwenden kann, um die SD-WAN-Netzeinstellungen zu ändern und Elemente zu etablieren, die im Netzwerk legitim erscheinen.
Ciscos Bedrohungs-Geheimdienst, Talos, hat die bösartige Aktivität mit dem Label verfolgt UAT-8616 und sorgt dafür, dass es mit hohem Vertrauen ein sehr anspruchsvoller Gegner ist. Talos weist auch darauf hin, dass es Beweise für eine aktive Ausbeutung seit mindestens 2023 gibt und dass der Schauspieler es geschafft hätte, vorübergehend die Software auf eine verletzliche Version zurückzukehren und auszubeuten CVE-2022-20775 Superuser-Privilegien zu erhalten, dann die Originalversion wiederherzustellen und Drucke zu verstecken. Talos-Analyse ist auf Ihrem Blog verfügbar: Cisco Talos - UAT-8616.
Die Ernsthaftigkeit des Vorfalls hat zu einer koordinierten Reaktion zwischen Lieferanten und Behörden geführt. Am 25. Februar 2026 hat die US-Agentur CISA die Notfallrichtlinie ED-26-03, die Bundesbehörden zwingt, Cisco SD-WAN-Systeme zu erfinden, forensische Geräte zu sammeln, externe Speicherung von Schleifen sicherzustellen, Updates anzuwenden und Zeichen des Engagements im Zusammenhang mit CVE-2026-20127 und CVE-2022-20775 zu suchen. Die Richtlinie setzte strenge Fristen für das Patching aufgrund der drohenden Ausbeutung für kritische Netze fest.
Die britische Regierung, durch die NCSC, und CISA haben gemeinsame Such- und Härtungsführer veröffentlicht, um Organisationen zu helfen, bösartige Aktivität zu erkennen und Risiken zu mildern. Beide Institutionen bestehen darauf, dass SD-WAN-Management-Schnittstellen nicht dem Internet ausgesetzt werden sollten und empfehlen unter anderem, Kontrollkomponenten hinter Firewalls zu platzieren, Managementpläne zu segmentieren und zu isolieren und Datensätze zu externen Systemen zu bewegen, um ihre Manipulation zu vermeiden.
In Bezug auf die Erkennung fordern Cisco und Talos dringend, die Aufzeichnungen eines jeden Katalysator-SD-WAN-Treibers außerhalb des Umfangs zu überprüfen. Ein bestimmter Indikator ist das Aussehen in / var / log / auth. Protokoll von Einträgen, bei denen ein öffentlicher Schlüssel für den Benutzer vmanage-admin von IP-Adressen akzeptiert wird, die nicht Teil der bekannten Infrastruktur sind. Werden unbekannte PIs beobachtet, die eine gültige Authentifizierung erreicht haben, empfiehlt es sich, das kompromittierte Gerät zu betrachten und einen Fall mit der Cisco (TAC) technischen Unterstützung zu öffnen.
Andere Zeichen des Engagements, die von Talos, CISA und Cisco geteilt werden, umfassen unerwartete Erstellung oder Löschung von Benutzerkonten, Off-the-clock Root-Login, nicht autorisierte SSH-Schlüssel mit vmanage-admin oder root und Änderungen, die PermitRootLogin ermöglichen. Es ist auch angebracht, ungewöhnlich kleine oder fehlende Registrierungsdateien zu überwachen - mögliches Zeichen des Software-Erlöschens - und Software-Degradations-Ereignisse, gefolgt von Wiedereinitiationen, wie sie vielleicht darauf hinweisen, dass der Angreifer die Verwundbarkeit von 2022 genutzt, um Privilegien zu skalieren.
CISA bietet eine spezifische Liste von Registrierungsrouten zu analysieren, um zu überprüfen, ob CVE-2022-20775 verwendet wurde, einschließlich / var / volatile / log / vdebug, / var / log / tmplog / vdebug und / var / volatile / log / sw _ script _ synccdb.log. Darüber hinaus beauftragt sein Jagd- und Härtungsführer Organisationen, Speicherspins von Administrator, persönlichen Benutzerverzeichnissen und anderen forensischen Geräten zu sammeln und sicherzustellen, dass die Protokolle außerhalb des Geräts kopiert werden, um Änderungen zu vermeiden.
In Bezug auf die Minderung hat Cisco Patches veröffentlicht, die die Verwundbarkeit korrigieren und betont, dass es keine temporäre Lösung gibt, um sie vollständig zu beseitigen: der einzige Weg, definitiv zu beheben CVE-2026-20127 ist, auf eine korrigierte Version der Software zu aktualisieren. Darüber hinaus empfehlen die Behörden und Cisco, den Zugang zu Management-Schnittstellen zu beschränken, die offiziellen Härtungspraktiken des Lieferanten anzuwenden und Datensätze an externe Systeme zu senden. Wenn es bestätigt wird, dass das Root-Konto kompromittiert wurde, sollten sich die Agenturen für saubere Einrichtungen entscheiden, anstatt zu versuchen, ein System zu "reinigen" bereits verletzt.
Dieser Vorfall stellt wieder eine wiederholte, aber wesentliche Lektion für Netzwerkoperationen in verteilten Umgebungen auf den Tisch: Die Orchestrierungs- und Kontrollplattformen sind äußerst empfindlich, weil sie Vertrauen zentralisieren. Fügen Sie ein falsches Paar auf das SD-WAN-Netz ermöglicht es dem Angreifer, scheinbar legitimen Verkehr zu verschlüsseln und Routen zu verkünden, die von ihm kontrolliert werden, Erleichterung von Seitenbewegungen und Ausdauer innerhalb des Unternehmensnetzwerks.
Schließlich erkannte Cisco öffentlich die Zusammenarbeit der Australian Signals Direktion / Australian Cyber Security Centre bei der Entdeckung des Misserfolgs, eine Erinnerung, dass die Früherkennung oft das Ergebnis der Zusammenarbeit zwischen Unternehmen und Agenturen ist. Wenn Sie von einer Implementierung von Cisco Catalyst SD-WAN verwalten oder abhängen, überprüfen Sie die verknüpften Anleitungen und Hinweise, priorisieren Sie die Installation der Patches und im Falle der Erkennung von verdächtigen Aktivitäten, starten Sie die empfohlenen forensischen Aktionen und melden Sie den Lieferanten und die Behörden gegebenenfalls.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...