Haavoittuvuus4/2026CVSS 10CVE-2026-20127 (Ulkoinen linkki)
Cisco Catalyst SD-WAN -tuotteisiin julkaistu kriittisiä haavoittuvuuksia, joita hyväksikäyttämällä hyökkääjä voi ohittaa kirjautumisen laitteella, korottaa käyttöoikeutensa pääkäyttäjätasolle ja ottaa laitteen haltuunsa. Kyberturvallisuuskeskus kehoittaa tuotteita käyttäviä tahoja tunnistamaan haavoittuvat laitteet omasta verkkoympäristöstä, kerämään riittävät tiedot ja snapshotit haavoittuvista laitteista, päivittämään laitteet uusimpaan versioon ja suorittamaan uhkanmetsästystä ympäristöstä hyväksikäytön varalta.
Cisco on julkaissut Cisco Catalyst SD-WAN -tuotteisiin päivityksiä, joilla korjataan kaksi kriittistä haavoittuvuutta (CVE-2026-20127 ja CVE-2026-20129) sekä useita korkean ja keskitason haavoittuvuuksia (CVE-2026-20126, CVE-2026-20133, CVE-2026-20122 ja CVE-2026-20128). Haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi ohittaa kirjautumisen laitteella, korottaa käyttöoikeutensa pääkäyttäjätasolle ja ottaa laitteen haltuunsa. Haavoittuvuuden hyväksikäyttöä on havaittu globaalisti.
Haavoittuvuuden kohde
Cisco Catalyst SD-WAN Manager (SD-WAN vManage) ja Cisco Catalyst SD-WAN Controller (SD-WAN vSmart) versiot:
- 20.9 ja vanhemmat
- 20.11
- 20.12.5
- 20.12.6
- 20.13
- 20.14
- 20.15
- 20.16
- 20.18
Mistä on kysymys?
Maailmanlaajuisesti on havaittu pahantahtoisten kyberuhkatoimijoiden kohdistavan hyökkäyksiä organisaatioiden SD‑WAN-verkkoihin. Toimijat ovat hyödyntäneet Cisco Catalyst SD‑WAN -ohjaimen todennuksen ohitushaavoittuvuutta, CVE‑2026‑20127. Hyödynnettyään haavoittuvuuden hyökkääjät lisäävät valesolmun (rogue peer) ja saavat lopulta root-oikeudet varmistaakseen pitkäaikaisen läsnäolon SD‑WAN-järjestelmissä.
Cisco on kertonut haavoittuvuuden johtuvan siitä, että vaikutuksen alaisen järjestelmän peering‑todennusmekanismi ei toimi oikein. Hyökkääjä voi hyödyntää haavoittuvuutta lähettämällä muotoiltuja pyyntöjä järjestelmälle. Onnistunut hyväksikäyttö voi mahdollistaa hyökkääjän kirjautumisen vaikutuksen alaiselle Cisco Catalyst SD‑WAN Controller ‑laitteelle sisäisellä, korkean käyttöoikeustason mutta ei‑root‑käyttäjätilillä. Tällä tunnuksella hyökkääjä voi käyttää NETCONF-rajapintaa, mikä puolestaan mahdollistaa SD‑WAN‑verkon konfiguraation manipuloinnin.
Mitä voin tehdä?
Kyberturvallisuuskeskus suosittelee tuotteita käyttäville tahoille seuraavia toimia:
- Tunnista kaikki verkossasi olevat tämän ohjeistuksen piiriin kuuluvat Cisco SD‑WAN ‑järjestelmät.
- Varmista, että SD‑WAN‑järjestelmät on konfiguroitu tallentamaan lokit ulkoisesti (SD‑WAN‑teknologian ulkopuolelle).
- Varmista, että lokit on tallennettu tai muutoin saatavilla keskitetystä sijainnista havaitsemista ja reagointia varten.
- Kerää seuraavat artefaktit ympäristöstä (mikäli saatavilla):
- Virtuaalilevyn ja muistin forensinen snapshot.
- Ylläpitäjän core dump, sisältäen osia hakemistoista /opt ja /var
- Kopio /home‑hakemistosta käyttäjätoimintojen ja avainten tarkastelua varten.
- Syslog‑lokit (ulkopuolisesti tallennetut)
- Cisco SD‑WAN vManage-, vSmart- ja vBond‑laitteisiin liittyvät verkko‑lokit (palomuuri, kytkimet ja reitittimet).
- Pilvipalvelun ollessa kyseessä, pyydä näitä tietoja Ciscolta - Päivitä laitteet Ciscon julkaisemiin uusimpiin versioihin.
- Suorita uhkanmetsästystä ympäristössä hyväksikäytön paljastamiseksi.
- Hyödynnä Ciscon Catalyst SD-WAN Hardening Guide:a järjestelmän koventamiseksi.
- Mikäli järjestelmän hyväksikäyttöä havaitaan, ilmoita tapauksesta Kyberturvallisuuskeskukselle ja poliisille.
Lisätietoja
- Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability (Ulkoinen linkki)
- Cisco Catalyst SD-WAN Vulnerabilities (Ulkoinen linkki)
- Cisco Catalyst SD-WAN Hardening Guide (Ulkoinen linkki)
- Active exploitation of Cisco Catalyst SD-WAN by UAT-8616 (Ulkoinen linkki)
- Cisco SD-WAN Threat Hunt Guide (Ulkoinen linkki)