Η Cisco αποκάλυψε μια κρίσιμη ευπάθεια zero-day (CVE-2026-20127) στα συστήματα Cisco Catalyst SD-WAN Controller (πρώην vSmart) και Manager (πρώην vManage), η οποία παρουσιάζει τη μέγιστη δυνατή βαθμολογία επικινδυνότητας 10.0 στην κλίμακα CVSS.
Η ευπάθεια αυτή επιτρέπει σε έναν απομακρυσμένο εισβολέα, χωρίς να διαθέτει στοιχεία σύνδεσης, να παρακάμψει πλήρως τον μηχανισμό ταυτοποίησης (authentication) και να αποκτήσει δικαιώματα διαχειριστή.
Τεχνική ανάλυση και επιπτώσεις
Το πρόβλημα εντοπίζεται στον μηχανισμό ταυτοποίησης ομότιμων κόμβων (peering authentication). Ο εισβολέας μπορεί να στείλει ειδικά διαμορφωμένα αιτήματα στο σύστημα και να συνδεθεί ως εσωτερικός χρήστης με υψηλά προνόμια.
Με αυτή την πρόσβαση, ο επιτιθέμενος μπορεί να:
- Χρησιμοποιήσει το πρωτόκολλο NETCONF για να τροποποιήσει τις ρυθμίσεις ολόκληρου του δικτύου SD-WAN.
- Δημιουργήσει ψεύτικους (rogue) κόμβους που εμφανίζονται ως έμπιστα τμήματα του δικτύου.
- Αποκτήσει πλήρη έλεγχο στο “management plane” και το “control plane” του οργανισμού.
Η Δράση του UAT-8616 (Timeline & Τακτικές)
Η Cisco και οι υπηρεσίες πληροφοριών Five Eyes (συμπεριλαμβανομένης της Αυστραλιανής ASD-ACSC) παρακολουθούν τον εισβολέα με το κωδικό όνομα UAT-8616. Πρόκειται για έναν εξαιρετικά εξελιγμένο παράγοντα απειλών που εκμεταλλεύεται αυτό το κενό ασφαλείας τουλάχιστον από το 2023.
Η μέθοδος επίθεσης περιλαμβάνει:
Αρχική Πρόσβαση: Εκμετάλλευση της CVE-2026-20127 για είσοδο ως απλός χρήστης.
- Υποβάθμιση Λογισμικού (Downgrade): Χρήση του μηχανισμού ενημέρωσης για την εγκατάσταση παλαιότερης, ευάλωτης έκδοσης.
- Κλιμάκωση Προνομίων: Εκμετάλλευση μιας παλαιότερης ευπάθειας (CVE-2022-20775) για την απόκτηση πρόσβασης root.
- Επαναφορά: Αναβάθμιση στην αρχική έκδοση για να μην κινήσει υποψίες, διατηρώντας όμως την πρόσβαση root.
Η CISA έχει εκδώσει επείγουσα οδηγία (Emergency Directive 26-03) και απαιτεί από τους οργανισμούς να δράσουν άμεσα.
1. Ενημέρωση λογισμικού (Patching):
Πρέπει να γίνει άμεση αναβάθμιση στις διορθωμένες εκδόσεις. Για εκδόσεις παλαιότερες της 20.9, απαιτείται πλήρης μετάβαση σε νεότερη υποστηριζόμενη έκδοση.
2. Έλεγχος Αρχείων Καταγραφής (Threat Hunting):
Ελέγξτε το αρχείο /var/log/auth.log για την καταχώρηση:
Accepted publickey for vmanage-admin
Αν η IP προέλευσης δεν ανήκει σε εξουσιοδοτημένο σύστημα, το σύστημα θεωρείται παραβιασμένο.
3. Διερεύνηση Υποβάθμισης (Downgrade Check):
Αναζητήστε στα logs /var/volatile/log/vdebug για μηνύματα που υποδηλώνουν μη αναμενόμενες επανεκκινήσεις ή αλλαγές έκδοσης λογισμικού (π.χ. «Device will revert to previous software version»).
