Менее чем за четыре месяца - с февраля по июнь 2026 - CISA добавила в каталог Known Exploited Vulnerabilities четыре уязвимости Cisco Catalyst SD-WAN. Две получили максимальный CVSS 10.0. Для двух auth bypass на управляющей плоскости CISA выпустила Emergency Directive 26-03 с требованием hunt and hardening для федеральных агентств. Два дня на устранение. Не недели - дня.
Кластер угроз UAT-8616 выстроил цепочку от обхода аутентификации пиринга до создания скрытого root-аккаунта на vManage, причём с антифорензик-техниками, которые делают обнаружение постфактум отдельным квестом. Ниже - каждое звено цепочки, конкретные индикаторы компрометации для проверки прямо сейчас и чеклист, который можно передать команде эксплуатации как есть.
Зачем APT-группировки атакуют SD-WAN контроллеры
Cisco Catalyst SD-WAN Manager (ранее vManage) - единственная точка управления всей SD-WAN-фабрикой. Он централизованно раскатывает конфигурации на edge-устройства на Cisco IOS XE, задаёт политики маршрутизации через SD-WAN Controller (vSmart) и оркестрирует аутентификацию через SD-WAN Validator (vBond). Атакующий, получивший контроль над vManage, управляет всей корпоративной WAN-инфраструктурой: маршрутами, ACL, VPN-туннелями и DNS-настройками на каждом филиальном роутере. Одна нода - вся фабрика. Подробнее - в нашем обзоре уязвимости iot устройств.Для APT-кампаний vManage - цель с максимальным возвратом: компрометация одного управляющего узла открывает конфигурации сотен edge-устройств без необходимости ломать каждое отдельно. С расширением SD-WAN как транспорта для 5G-connected филиалов уязвимости в контроллерах бьют по безопасности куда более широкой инфраструктуры. По данным IBM X-Force Threat Intelligence Index 2025, среднее время между публикацией CVE и устранением в организации - 29 месяцев. Для SD-WAN эта задержка означает, что атакующий может не просто закрепиться, а перенастроить всю фабрику, пока организация ждёт окна на обновление.
Место атаки в kill chain: от Resource Development - Network Devices (T1584.008) через Initial Access - Exploit Public-Facing Application (T1190) до полного контроля управляющей плоскости с возможностью пушить конфигурации на весь WAN-сегмент.
Два authentication bypass с CVSS 10.0: критическая уязвимость Cisco SD-WAN
CVE-2026-20127: обход аутентификации пиринга
Уязвимость в механизме peering authentication затрагивает все три контрольных компонента: SD-WAN Controller, Manager и Validator. Некорректная аутентификация пиринга позволяет неаутентифицированному удалённому атакующему обойти проверку подлинности и получить административные привилегии.- CVSS: 10.0 (Critical)
- Вектор:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H- атака по сети, без привилегий, без взаимодействия пользователя, Changed Scope - CWE: CWE-287 (Improper Authentication) - OWASP A07 (Identification and Authentication Failures)
- EPSS: 0.5779 (Top 5%)
- CISA KEV: добавлена 25 февраля 2026, deadline устранения - 27 февраля (два дня). SSVC Decision: Act, Automatable: yes
CVE-2026-20182: второй bypass в том же сервисе
Обнаружена исследователями Rapid7 при расследовании CVE-2026-20127. Это не patch bypass предыдущей уязвимости, а отдельная проблема в том же участке сетевого стека - сервисеvdaemon через DTLS, но в процедуре handshaking контрольных соединений (Cybersecurity Dive).- CVSS: 10.0 (Critical)
- Вектор:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - CWE: CWE-287 - OWASP A07 (Identification and Authentication Failures)
- EPSS: 0.8769 (Top 1% - экстремально высокая вероятность эксплуатации)
- CISA KEV: добавлена 14 мая 2026. SSVC Decision: Act, Automatable: yes
CVE-2026-20133 и CVE-2026-20245: от утечки ключей до root
CVE-2026-20133: раскрытие ключа vmanage-admin
Третья активно эксплуатируемая уязвимость в хронологии CISA KEV (добавлена 20 апреля 2026).- CVSS: 6.5 (Medium)
- Вектор:
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N- требует низких привилегий, воздействие на конфиденциальность (High) - CWE: CWE-200 (Exposure of Sensitive Information to an Unauthorized Actor)
- EPSS: 0.1024 (Top 5%)
- SSVC: Attend, Exploitation: active
netadmin читать чувствительные данные на уровне ОС через vshell. По данным SecurityLab/itsec.ru, исследователи VulnCheck собрали рабочий эксплойт: извлечение закрытого ключа пользователя vmanage-admin и захват контроля над NETCONF-протоколом. Это альтернативный путь для lateral movement - даже с низкоуровневым доступом атакующий эскалирует его до управления конфигурацией.CVE-2026-20245: от netadmin до root через CLI
Если authentication bypass даёт административный доступ на уровне приложения, то CVE-2026-20245 конвертирует его в полный контроль ОС. CVSS 7.8 (High, не Critical) - корректное именование тут принципиально, потому что предыдущие отчёты ошибочно называли её критической.- CVSS: 7.8 (High)
- Вектор:
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H- локальный вектор, низкие привилегии, полное воздействие на CIA - CWE: CWE-116 (Improper Encoding or Escaping of Output)
- EPSS: 0.2532 (Top 5%)
- CISA KEV: добавлена 9 июня 2026. SSVC Decision: Act - патчить немедленно
- Workaround: отсутствует
tenant-upload CLI SD-WAN Manager. Функция предназначена для массовой загрузки конфигураций тенантов через CSV-файл, но валидация ввода настолько слабая, что позволяет внедрить shell-команды прямо в CSV. Они исполняются с привилегиями root.Формально вектор атаки - локальный (AV:L). На практике SD-WAN Manager доступен через SSH и веб-интерфейс, которые во многих деплойментах открыты для широких административных подсетей. Cisco SD-WAN Hardening Guide явно предупреждает против такой конфигурации - но кто его читает до инцидента? В наблюдаемом кейсе атакующий получил CLI-доступ через предварительную эксплуатацию CVE-2026-20127 или CVE-2026-20182, превратив CVE-2026-20245 из локальной эскалации в сетевую root-компрометацию.
По данным исследователей, pre-disclosure эксплуатация этой уязвимости предположительно началась не позднее марта 2026 - за несколько месяцев до публикации патча.
Полная цепочка атаки UAT-8616 на SD-WAN-инфраструктуру
На основе публикаций отраслевых исследователей и анализа открытых источников - реконструкция:Фаза 1 - Initial Access (конец 2025 - начало 2026). Атакующий устанавливал несанкционированные пиринговые соединения к SD-WAN Manager через CVE-2026-20127 или CVE-2026-20182. Соединения давали видимость целевого окружения и экстракцию сертификатного материала. ATT&CK: Exploit Public-Facing Application (T1190, Initial Access), Network Device Authentication (T1556.004, Persistence / Defense Impairment).
Фаза 2 - Закрепление (март 2026). Аутентификация через SSH как
vmanage-admin. Смена пароля дефолтного аккаунта admin - Mandiant оценивает это как преднамеренную блокировку защитников. Грубо, но эффективно: пока SOC пытается залогиниться, атакующий уже внутри. ATT&CK: Valid Accounts (T1078, Persistence).Фаза 3 - Privilege Escalation (март 2026). Загрузка вредоносного CSV и эскалация до root:
Bash:
request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0
/etc/passwd и /etc/shadow, создавая аккаунт troot с UID 0 и предустановленным хешем пароля. Перед исполнением атакующий скопировал оригинальные файлы в скрытые директории - backup-and-restore как антифорензик-техника.Фаза 4 - Anti-Forensics. После получения root через
su troot и выполнения целевых действий атакующий восстановил оригинальные /etc/passwd и /etc/shadow, запустил верификационные скрипты для подтверждения удаления улик. Модифицированные файлы существовали только транзитно - пассивный сбор логов не зафиксировал бы инъекцию аккаунта. ATT&CK: Patch System Image (T1601.001, Defense Impairment).Фаза 5 - Воздействие на фабрику. Cisco подтвердила "ограниченные случаи, когда эксплуатация привела к изменению конфигурации, отправленному на edge-устройства". Root-доступ на vManage - возможность пушить произвольные конфигурации на всё сетевое оборудование. ATT&CK: Network Device Configuration Dump (T1602.002, Collection).
Сводка ATT&CK по цепочке
| Этап | Техника MITRE ATT&CK | CVE / действие |
|---|---|---|
| Resource Development | Network Devices (T1584.008) | Разведка SD-WAN-инфраструктуры |
| Initial Access | Exploit Public-Facing Application (T1190) | CVE-2026-20127, CVE-2026-20182 |
| Persistence | Network Device Authentication (T1556.004) | Обход пиринговой аутентификации |
| Persistence | Valid Accounts (T1078) | vmanage-admin, создание troot |
| Execution | Network Device CLI (T1059.008) | Команда tenant-upload |
| Privilege Escalation | Exploitation for Privilege Escalation (T1068) | CVE-2026-20245 |
| Collection | Network Device Configuration Dump (T1602.002) | Доступ к конфигурациям |
| Defense Impairment | Patch System Image (T1601.001) | Anti-forensic cleanup |
Три уязвимости vManage без подтверждённой эксплуатации
Помимо четырёх CVE из каталога CISA KEV, в том же периоде Cisco раскрыла ещё три уязвимости в SD-WAN Manager. Активная эксплуатация по ним не зафиксирована, но при устойчивом интересе APT к vManage - игнорировать их себе дороже.CVE-2026-20224 - XXE-инъекция (CVSS 8.6, High). Вектор:
AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N - без аутентификации, чтение произвольных файлов через некорректную обработку XML-сущностей. CWE-20 (Improper Input Validation), категория OWASP A05 (Security Misconfiguration). EPSS 0.0070 - пока ниже медианы, но вектор без привилегий делает её опасной на exposed web UI.CVE-2026-20209 и CVE-2026-20210 - эскалация привилегий (CVSS 5.4, Medium каждая). CWE-779 (Logging of Excessive Data). CVE-2026-20209 - чувствительная сессионная информация пишется в audit logs без редактирования. CVE-2026-20210 - чувствительные данные не редактируются в конфигурациях устройств и шаблонах, что позволяет модифицировать конфигурации. Обе дают пользователю с read-only правами повышение до high-privileged. OWASP A07 (Identification and Authentication Failures) - утечка аутентификационных данных через избыточное логирование. Эти CVE не зависят друг от друга и не являются предусловием для цепочки UAT-8616, но расширяют поверхность атаки на тот же компонент. Патчить одновременно с основными.
Детекшн и чеклист немедленного реагирования
Индикаторы компрометации SD-WAN
Несанкционированные пиринговые соединения. В логах vSmart ищем записиcontrol-connection-state-change с peer-type:vmanage:
Код:
vSmart-01 VDAEMON_0[2571]: control-connection-state-change new-state:up peer-type:vmanage peer-system-ip:1.1.1.10 public-ip:192.168.3.20
peer-system-ip совпадает с известной адресацией; public-ip - ожидаемый источник пиринга; timestamp совпадает с плановыми событиями. Любое расхождение - повод копать дальше.SSH-аутентификация vmanage-admin. В
/var/log/auth.log ищем Accepted publickey for vmanage-admin с IP-адресов, отсутствующих в списке System IP (WebUI > Devices > System IP). Совпадение - индикатор несанкционированного доступа.Модификация системных файлов. Проверяем
/etc/passwd на аккаунты с UID 0, отличные от root. Проверяем наличие скрытых копий системных файлов в нестандартных директориях. Если нашли - у вас проблема посерьёзнее, чем непатченный vManage.Чеклист немедленных действий
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Цепочка атак на Cisco SD-WAN в 2026 году - не серия разрозненных инцидентов, а системная кампания с единой операционной логикой. Четыре CVE в CISA KEV, pre-disclosure эксплуатация с антифорензик-техниками, emergency directive - всё это про устойчивый интерес APT-группировок к WAN-контроллерам как классу целей. По отраслевым отчётам, эксплойты остаются одним из наиболее распространённых векторов initial access, и SD-WAN контроллер - идеальная мишень: одна нода = вся фабрика.
На практике SD-WAN-инсталляции часто имеют одну общую проблему: управляющая плоскость доступна из более широкого сегмента, чем необходимо. Не из интернета - но из корпоративной VLAN с сотнями хостов, где любой скомпрометированный endpoint превращается в точку прыжка к vManage. Формальный CVSS-вектор AV:L для CVE-2026-20245 создаёт ложное чувство безопасности: он не отражает, что SSH к vManage открыт для всей admin-подсети. Реальная поверхность атаки шире, чем подсказывает числовая оценка. По этой же причине EPSS для CVE-2026-20182 составляет 0.8769 - Top 1% среди всех CVE в базе: модель учитывает не теоретический вектор, а фактическую частоту реальных атак.
Отдельно про видимость - и это, пожалуй, самое больное. SD-WAN-контроллеры остаются одной из самых слабых точек мониторинга в корпоративных сетях. SIEM-интеграция для syslog с vManage существует, но мало кто настраивает гранулярные правила на peering events или SSH-аутентификацию сервисных аккаунтов. Атака UAT-8616 это подтвердила: антифорензик-техники с транзитной модификацией
/etc/passwd сработали именно потому, что никто не мониторил создание аккаунтов с UID 0 на контроллере в реальном времени. Если ваш SOC не алертит на появление нового пользователя с UID 0 на сетевом контроллере - это gap, который нужно закрыть до следующей zero-day. Не после.
Последнее редактирование модератором: