Aktywne wykorzystywanie podatności w systemach Cisco przez zaawansowane grupy hakerskie
Amerykańska CISA, we współpracy z NSA oraz agencjami z Wielkiej Brytanii, Kanady, Australii i Nowej Zelandii, ostrzega przed aktywnymi atakami wykorzystującymi poważne luki w urządzeniach Cisco. Zidentyfikowane podatności umożliwiają nie tylko ominięcie uwierzytelniania, ale także przejęcie pełnej kontroli nad systemami SD‑WAN, co stwarza realne ryzyko długotrwałej infiltracji sieci organizacji.
Charakterystyka podatności
- Oznaczenie: CVE-2026-20127
- CVSS: 3.1 10,0 (Critical)
Jak działa podatność
Podatność jest krytyczna i pozwala na omijanie uwierzytelnienia aby uzyskać wstępny dostęp do kontrolerów SD-WAN bez znajomości hasła. Następnie, używając luki CVE-2022-20775, podnoszą swoje uprawnienia do poziomu administratora, co pozwala im na pełną kontrolę nad systemem oraz siecią oraz długotrwały dostęp do zasobów organizacji.
Podatne systemy
Luka dotyczy kontrolera Cisco Catalyst SD-WAN oraz Cisco Catalyst SD-WAN Manager, niezależnie od konfiguracji urządzenia.
Działania zapobiegawcze
- Aktualizacja: Instalacja najnowszych aktualizacji od Cisco zgodnie z zaleceniem producenta.
- Izolacja: Umieszczenie interfejsów zarządzania za silnym firewallem i odcięcie ich od publicznego internetu.
- Monitoring: Przeglądanie logów systemowych oraz audyt pliku auth.log, znajdującego się pod adresem /var/log/auth.log, w poszukiwaniu nietypowej aktywności.
- Wzmocnienie ochrony: Zmiana domyślnych certyfikatów i skrócenie czasu trwania sesji administratora.