Статья Уязвимости Cisco SD-WAN: цепочка эксплойтов от auth bypass до root и детекшн для SOC

Восковая печать с символикой Cisco SD-WAN, разрезанная скальпелем пополам, обнажает внутренние кольца сетевой топологии. Резкий верхний свет, десатурированная палитра с красным акцентом на срезе.


Менее чем за четыре месяца - с февраля по июнь 2026 - CISA добавила в каталог Known Exploited Vulnerabilities четыре уязвимости Cisco Catalyst SD-WAN. Две получили максимальный CVSS 10.0. Для двух auth bypass на управляющей плоскости CISA выпустила Emergency Directive 26-03 с требованием hunt and hardening для федеральных агентств. Два дня на устранение. Не недели - дня.

Кластер угроз UAT-8616 выстроил цепочку от обхода аутентификации пиринга до создания скрытого root-аккаунта на vManage, причём с антифорензик-техниками, которые делают обнаружение постфактум отдельным квестом. Ниже - каждое звено цепочки, конкретные индикаторы компрометации для проверки прямо сейчас и чеклист, который можно передать команде эксплуатации как есть.

Зачем APT-группировки атакуют SD-WAN контроллеры​

Cisco Catalyst SD-WAN Manager (ранее vManage) - единственная точка управления всей SD-WAN-фабрикой. Он централизованно раскатывает конфигурации на edge-устройства на Cisco IOS XE, задаёт политики маршрутизации через SD-WAN Controller (vSmart) и оркестрирует аутентификацию через SD-WAN Validator (vBond). Атакующий, получивший контроль над vManage, управляет всей корпоративной WAN-инфраструктурой: маршрутами, ACL, VPN-туннелями и DNS-настройками на каждом филиальном роутере. Одна нода - вся фабрика. Подробнее - в нашем обзоре уязвимости iot устройств.

Для APT-кампаний vManage - цель с максимальным возвратом: компрометация одного управляющего узла открывает конфигурации сотен edge-устройств без необходимости ломать каждое отдельно. С расширением SD-WAN как транспорта для 5G-connected филиалов уязвимости в контроллерах бьют по безопасности куда более широкой инфраструктуры. По данным IBM X-Force Threat Intelligence Index 2025, среднее время между публикацией CVE и устранением в организации - 29 месяцев. Для SD-WAN эта задержка означает, что атакующий может не просто закрепиться, а перенастроить всю фабрику, пока организация ждёт окна на обновление.

Место атаки в kill chain: от Resource Development - Network Devices (T1584.008) через Initial Access - Exploit Public-Facing Application (T1190) до полного контроля управляющей плоскости с возможностью пушить конфигурации на весь WAN-сегмент.

Два authentication bypass с CVSS 10.0: критическая уязвимость Cisco SD-WAN​

1783321039337.webp

CVE-2026-20127: обход аутентификации пиринга​

Уязвимость в механизме peering authentication затрагивает все три контрольных компонента: SD-WAN Controller, Manager и Validator. Некорректная аутентификация пиринга позволяет неаутентифицированному удалённому атакующему обойти проверку подлинности и получить административные привилегии.
  • CVSS: 10.0 (Critical)
  • Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - атака по сети, без привилегий, без взаимодействия пользователя, Changed Scope
  • CWE: CWE-287 (Improper Authentication) - OWASP A07 (Identification and Authentication Failures)
  • EPSS: 0.5779 (Top 5%)
  • CISA KEV: добавлена 25 февраля 2026, deadline устранения - 27 февраля (два дня). SSVC Decision: Act, Automatable: yes
Эксплуатация даёт атакующему вход на SD-WAN Controller как внутренний привилегированный пользователь (не root, но с доступом к NETCONF) - а это манипуляция сетевой конфигурацией всей фабрики. По отраслевым источникам, активность по этой CVE предположительно связана с кластером UAT-8616.

CVE-2026-20182: второй bypass в том же сервисе​

Обнаружена исследователями Rapid7 при расследовании CVE-2026-20127. Это не patch bypass предыдущей уязвимости, а отдельная проблема в том же участке сетевого стека - сервисе vdaemon через DTLS, но в процедуре handshaking контрольных соединений (Cybersecurity Dive).
  • CVSS: 10.0 (Critical)
  • Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • CWE: CWE-287 - OWASP A07 (Identification and Authentication Failures)
  • EPSS: 0.8769 (Top 1% - экстремально высокая вероятность эксплуатации)
  • CISA KEV: добавлена 14 мая 2026. SSVC Decision: Act, Automatable: yes
Cisco наблюдала эксплуатацию этой SD-WAN vManage уязвимости как zero-day в мае 2026. CISA выпустила Emergency Directive 26-03 с требованиями по hunt and hardening - беспрецедентный уровень реагирования для уязвимостей в WAN-инфраструктуре. Обе CVE - ключевое звено initial access в цепочке UAT-8616: административный доступ к vManage без каких-либо учётных данных. Забавно на фоне CrowdStrike Global Threat Report 2025, где 75% вторжений требуют валидных кредитивов - здесь атакующему они не нужны вовсе.

CVE-2026-20133 и CVE-2026-20245: от утечки ключей до root​

1783321065997.webp

CVE-2026-20133: раскрытие ключа vmanage-admin​

Третья активно эксплуатируемая уязвимость в хронологии CISA KEV (добавлена 20 апреля 2026).
  • CVSS: 6.5 (Medium)
  • Вектор: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N - требует низких привилегий, воздействие на конфиденциальность (High)
  • CWE: CWE-200 (Exposure of Sensitive Information to an Unauthorized Actor)
  • EPSS: 0.1024 (Top 5%)
  • SSVC: Attend, Exploitation: active
Недостаточные ограничения файловой системы позволяют аутентифицированному атакующему с привилегиями netadmin читать чувствительные данные на уровне ОС через vshell. По данным SecurityLab/itsec.ru, исследователи VulnCheck собрали рабочий эксплойт: извлечение закрытого ключа пользователя vmanage-admin и захват контроля над NETCONF-протоколом. Это альтернативный путь для lateral movement - даже с низкоуровневым доступом атакующий эскалирует его до управления конфигурацией.

CVE-2026-20245: от netadmin до root через CLI​

Если authentication bypass даёт административный доступ на уровне приложения, то CVE-2026-20245 конвертирует его в полный контроль ОС. CVSS 7.8 (High, не Critical) - корректное именование тут принципиально, потому что предыдущие отчёты ошибочно называли её критической.
  • CVSS: 7.8 (High)
  • Вектор: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - локальный вектор, низкие привилегии, полное воздействие на CIA
  • CWE: CWE-116 (Improper Encoding or Escaping of Output)
  • EPSS: 0.2532 (Top 5%)
  • CISA KEV: добавлена 9 июня 2026. SSVC Decision: Act - патчить немедленно
  • Workaround: отсутствует
Уязвимость сидит в команде tenant-upload CLI SD-WAN Manager. Функция предназначена для массовой загрузки конфигураций тенантов через CSV-файл, но валидация ввода настолько слабая, что позволяет внедрить shell-команды прямо в CSV. Они исполняются с привилегиями root.

Формально вектор атаки - локальный (AV:L). На практике SD-WAN Manager доступен через SSH и веб-интерфейс, которые во многих деплойментах открыты для широких административных подсетей. Cisco SD-WAN Hardening Guide явно предупреждает против такой конфигурации - но кто его читает до инцидента? В наблюдаемом кейсе атакующий получил CLI-доступ через предварительную эксплуатацию CVE-2026-20127 или CVE-2026-20182, превратив CVE-2026-20245 из локальной эскалации в сетевую root-компрометацию.

По данным исследователей, pre-disclosure эксплуатация этой уязвимости предположительно началась не позднее марта 2026 - за несколько месяцев до публикации патча.

Полная цепочка атаки UAT-8616 на SD-WAN-инфраструктуру

На основе публикаций отраслевых исследователей и анализа открытых источников - реконструкция:

Фаза 1 - Initial Access (конец 2025 - начало 2026). Атакующий устанавливал несанкционированные пиринговые соединения к SD-WAN Manager через CVE-2026-20127 или CVE-2026-20182. Соединения давали видимость целевого окружения и экстракцию сертификатного материала. ATT&CK: Exploit Public-Facing Application (T1190, Initial Access), Network Device Authentication (T1556.004, Persistence / Defense Impairment).

Фаза 2 - Закрепление (март 2026). Аутентификация через SSH как vmanage-admin. Смена пароля дефолтного аккаунта admin - Mandiant оценивает это как преднамеренную блокировку защитников. Грубо, но эффективно: пока SOC пытается залогиниться, атакующий уже внутри. ATT&CK: Valid Accounts (T1078, Persistence).

Фаза 3 - Privilege Escalation (март 2026). Загрузка вредоносного CSV и эскалация до root:
Bash:
request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0
Payload в CSV добавлял запись в /etc/passwd и /etc/shadow, создавая аккаунт troot с UID 0 и предустановленным хешем пароля. Перед исполнением атакующий скопировал оригинальные файлы в скрытые директории - backup-and-restore как антифорензик-техника.

Фаза 4 - Anti-Forensics. После получения root через su troot и выполнения целевых действий атакующий восстановил оригинальные /etc/passwd и /etc/shadow, запустил верификационные скрипты для подтверждения удаления улик. Модифицированные файлы существовали только транзитно - пассивный сбор логов не зафиксировал бы инъекцию аккаунта. ATT&CK: Patch System Image (T1601.001, Defense Impairment).

Фаза 5 - Воздействие на фабрику. Cisco подтвердила "ограниченные случаи, когда эксплуатация привела к изменению конфигурации, отправленному на edge-устройства". Root-доступ на vManage - возможность пушить произвольные конфигурации на всё сетевое оборудование. ATT&CK: Network Device Configuration Dump (T1602.002, Collection).

Сводка ATT&CK по цепочке​

ЭтапТехника MITRE ATT&CKCVE / действие
Resource DevelopmentNetwork Devices (T1584.008)Разведка SD-WAN-инфраструктуры
Initial AccessExploit Public-Facing Application (T1190)CVE-2026-20127, CVE-2026-20182
PersistenceNetwork Device Authentication (T1556.004)Обход пиринговой аутентификации
PersistenceValid Accounts (T1078)vmanage-admin, создание troot
ExecutionNetwork Device CLI (T1059.008)Команда tenant-upload
Privilege EscalationExploitation for Privilege Escalation (T1068)CVE-2026-20245
CollectionNetwork Device Configuration Dump (T1602.002)Доступ к конфигурациям
Defense ImpairmentPatch System Image (T1601.001)Anti-forensic cleanup

Три уязвимости vManage без подтверждённой эксплуатации​

Помимо четырёх CVE из каталога CISA KEV, в том же периоде Cisco раскрыла ещё три уязвимости в SD-WAN Manager. Активная эксплуатация по ним не зафиксирована, но при устойчивом интересе APT к vManage - игнорировать их себе дороже.

CVE-2026-20224 - XXE-инъекция (CVSS 8.6, High). Вектор: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N - без аутентификации, чтение произвольных файлов через некорректную обработку XML-сущностей. CWE-20 (Improper Input Validation), категория OWASP A05 (Security Misconfiguration). EPSS 0.0070 - пока ниже медианы, но вектор без привилегий делает её опасной на exposed web UI.

CVE-2026-20209 и CVE-2026-20210 - эскалация привилегий (CVSS 5.4, Medium каждая). CWE-779 (Logging of Excessive Data). CVE-2026-20209 - чувствительная сессионная информация пишется в audit logs без редактирования. CVE-2026-20210 - чувствительные данные не редактируются в конфигурациях устройств и шаблонах, что позволяет модифицировать конфигурации. Обе дают пользователю с read-only правами повышение до high-privileged. OWASP A07 (Identification and Authentication Failures) - утечка аутентификационных данных через избыточное логирование. Эти CVE не зависят друг от друга и не являются предусловием для цепочки UAT-8616, но расширяют поверхность атаки на тот же компонент. Патчить одновременно с основными.

Детекшн и чеклист немедленного реагирования​

Индикаторы компрометации SD-WAN​

Несанкционированные пиринговые соединения. В логах vSmart ищем записи control-connection-state-change с peer-type:vmanage:
Код:
vSmart-01 VDAEMON_0[2571]: control-connection-state-change new-state:up peer-type:vmanage peer-system-ip:1.1.1.10 public-ip:192.168.3.20
Для каждой записи валидируем: peer-system-ip совпадает с известной адресацией; public-ip - ожидаемый источник пиринга; timestamp совпадает с плановыми событиями. Любое расхождение - повод копать дальше.

SSH-аутентификация vmanage-admin. В /var/log/auth.log ищем Accepted publickey for vmanage-admin с IP-адресов, отсутствующих в списке System IP (WebUI > Devices > System IP). Совпадение - индикатор несанкционированного доступа.

Модификация системных файлов. Проверяем /etc/passwd на аккаунты с UID 0, отличные от root. Проверяем наличие скрытых копий системных файлов в нестандартных директориях. Если нашли - у вас проблема посерьёзнее, чем непатченный vManage.

Чеклист немедленных действий​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Цепочка атак на Cisco SD-WAN в 2026 году - не серия разрозненных инцидентов, а системная кампания с единой операционной логикой. Четыре CVE в CISA KEV, pre-disclosure эксплуатация с антифорензик-техниками, emergency directive - всё это про устойчивый интерес APT-группировок к WAN-контроллерам как классу целей. По отраслевым отчётам, эксплойты остаются одним из наиболее распространённых векторов initial access, и SD-WAN контроллер - идеальная мишень: одна нода = вся фабрика.

На практике SD-WAN-инсталляции часто имеют одну общую проблему: управляющая плоскость доступна из более широкого сегмента, чем необходимо. Не из интернета - но из корпоративной VLAN с сотнями хостов, где любой скомпрометированный endpoint превращается в точку прыжка к vManage. Формальный CVSS-вектор AV:L для CVE-2026-20245 создаёт ложное чувство безопасности: он не отражает, что SSH к vManage открыт для всей admin-подсети. Реальная поверхность атаки шире, чем подсказывает числовая оценка. По этой же причине EPSS для CVE-2026-20182 составляет 0.8769 - Top 1% среди всех CVE в базе: модель учитывает не теоретический вектор, а фактическую частоту реальных атак.

Отдельно про видимость - и это, пожалуй, самое больное. SD-WAN-контроллеры остаются одной из самых слабых точек мониторинга в корпоративных сетях. SIEM-интеграция для syslog с vManage существует, но мало кто настраивает гранулярные правила на peering events или SSH-аутентификацию сервисных аккаунтов. Атака UAT-8616 это подтвердила: антифорензик-техники с транзитной модификацией /etc/passwd сработали именно потому, что никто не мониторил создание аккаунтов с UID 0 на контроллере в реальном времени. Если ваш SOC не алертит на появление нового пользователя с UID 0 на сетевом контроллере - это gap, который нужно закрыть до следующей zero-day. Не после.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab