Специалисты по кибербезопасности из Австралии обнаружили критическую уязвимость, остававшуюся незамеченной на протяжении как минимум трёх лет, — но не для хакеров, которые ею уже воспользовались.
Компания Cisco сообщила об уязвимости высшего уровня опасности в своих продуктах, которая, судя по всему, активно использовалась злоумышленниками с 2023 года.
Уязвимость CVE-2026-20127, получившая максимальную оценку по шкале CVSS, позволяет неавторизованным злоумышленникам обходить процедуры аутентификации и удалённо получать расширенные права доступа. Для этого достаточно отправить специально сформированный запрос к уязвимой системе. Проблема затрагивает Cisco Catalyst SD-WAN Controller (ранее известный как vSmart) и Catalyst SD-WAN Manager (бывший vManage).
«Причиной уязвимости является некорректная реализация механизма взаимной аутентификации в подверженных системах», — указано в официальном уведомлении Cisco. Компания также отметила, что злоумышленник может использовать учётные записи без прав суперпользователя для доступа к NETCONF и изменения конфигурации сетевой среды.
Проблема касается как локальных, так и облачных развёртываний SD-WAN (включая Cisco Managed и FedRAMP Environment); настройки отдельных устройств Cisco при этом не имеют значения.
Уязвимость была выявлена экспертами Австралийского центра кибербезопасности (ASD-ACSC). В её эксплуатации Cisco и ASD-ACSC подозревают высокотехнологичную группировку UAT-8616, предположительно связанную с Китаем.
Согласно данным австралийских специалистов, злоумышленники использовали эту уязвимость, начиная с 2023 года.
«Уязвимость позволяла злоумышленнику внедрить в управляющий сегмент SD-WAN организации поддельное устройство», — сообщается в публикации ASD-ACSC. — «Это устройство маскировалось под новый временный компонент SD-WAN, управляемый злоумышленником и способный выполнять доверенные операции в плоскости управления».
После успешного взлома общедоступного приложения злоумышленники использовали встроенный механизм обновлений для намеренного понижения версии программного обеспечения и повышения привилегий до уровня root, эксплуатируя другую, более раннюю и менее опасную уязвимость CVE-2022-20775 (оценка 7,8 по CVSS), которая как раз и предоставляет возможность повысить права доступа через командную строку. После успешной операции версия ПО возвращалась к исходному состоянию.
После этого злоумышленники выполняют ряд дальнейших действий. Они создают локальные учетные записи, маскирующиеся под обычных пользователей, добавляют авторизованные SSH-ключи для доступа с правами root и изменяют стартовые скрипты SD-WAN. Также, применяя протокол настройки сети (NCP) и порт 830 (NETCONF) вместе с SSH, они подключались к иным устройствам Cisco SD-WAN в рамках той же управляющей инфраструктуры. Затем предпринимались меры по сокрытию следов активности — удалялись журналы событий, история выполненных команд и записи о сетевых соединениях. Однако определённые артефакты остаются и могут быть обнаружены в файлах: /var/volatile/log/vdebug; /var/log/tmplog/vdebug; /var/volatile/log/sw_script_synccdb.log.
Агентство США по кибербезопасности и защите инфраструктуры (CISA) включило обе уязвимости в перечень активно используемых и обязало государственные организации применить необходимые патчи в течение 24 часов, а также незамедлительно провести инвентаризацию и проверку всех устройств Cisco SD-WAN, усилив их защиту.
«Выбор пограничных устройств в качестве первоначальной цели для атаки вполне обоснован: сетевое оборудование часто представляет собой наиболее уязвимую точку периметра, не получающую достаточного контроля со стороны IT-подразделений, — комментирует Александр Зонов, специалист по кибербезопасности компании SEQ. — То, что данную уязвимость не удавалось обнаружить приблизительно три года, говорит как о высокой квалификации злоумышленников, так и о целенаправленном характере их операций».
