针对 Cisco Catalyst SD-WAN 控制器与 SD-WAN 管理器中一个极高危的 0Day 漏洞(CVE-2026-20127),研究人员已经公开了可运行的 概念验证(PoC)漏洞利用代码。安全分析显示,该漏洞实际上自 2023 年起就已被攻击者在真实环境中利用。
Cisco Talos 将相关攻击活动归类为 UAT-8616 攻击集群,并指出这是一个针对全球关键基础设施的 高度复杂网络威胁组织。研究人员 zerozenxlabs 在 GitHub 上公开的 PoC 中包含完整的 Python 利用脚本以及一个 JSP Webshell(cmd.jsp),同时还提供了可直接部署的 WAR 包。这些公开资源显著降低了其他攻击者复现和利用该漏洞的技术门槛。
该漏洞的根本原因在于 Cisco SD-WAN 系统中的 对等身份认证机制存在缺陷。攻击者无需进行身份验证即可通过向 SD-WAN 控制器 REST API 发送特制的 HTTP 请求,绕过登录验证流程,从而获取 管理员级会话权限。
Talos 的调查表明,UAT-8616 在成功入侵后实施了一条 多阶段攻击链:
1. 初始入侵
攻击者利用 CVE-2026-20127 获得高权限(但非 root)的管理员访问权限,并在 SD-WAN 的管理或控制平面中添加恶意的对等设备。
2. 权限提升
攻击者随后通过 降级系统软件版本 的方式重新引入旧漏洞 CVE-2022-20775,从而进一步提升权限并获得 root 级访问权限。
3. 版本恢复
在完成权限提升后,攻击者再将设备升级回原始软件版本,以隐藏之前进行的版本降级行为,从而减少被取证发现的可能。
4. 持久化控制
攻击者会在 /home/root/.ssh/authorized_keys 文件中添加未授权的 SSH 公钥,同时修改 sshd_config 配置启用 PermitRootLogin yes,并对 SD-WAN 的启动脚本进行修改,以确保持续访问。
5. 横向移动
攻击者利用 NETCONF(端口 830) 以及 SSH 在 SD-WAN 网络设备之间进行横向渗透,从而控制整个 SD-WAN 架构。
6. 清除痕迹
为了避免被发现,攻击者会删除或篡改多种日志,包括 syslog、bash_history、wtmp、lastlog 以及 /var/log/ 目录中的日志文件。
Cisco Talos 建议网络管理员立即对 SD-WAN 日志进行审计,重点关注控制连接中的对等设备事件。需要特别检查是否存在:
未经授权的 vManage 对等连接
异常来源 IP 地址
不符合正常时间规律的连接记录
如果日志中出现 恶意对等设备添加、SSH 密钥被修改、系统版本异常降级或升级 等行为,应视为 高度可信的入侵迹象。
与此同时,美国 网络安全和基础设施安全局(CISA) 已将 CVE-2026-20127 收录进 已知被利用漏洞目录(KEV),并要求联邦机构尽快完成补丁修复。使用 Cisco Catalyst SD-WAN 的组织应立即:
部署官方安全补丁
查阅 Cisco 发布的安全公告
参考澳大利亚网络安全中心(ACSC)的 SD-WAN 威胁狩猎指南
检查系统是否已遭入侵
网站资讯
渠道合作
解决方案
更多服务
