Cisco предупредила о продолжающихся атаках на контроллеры SD-WAN

Проблема затрагивает Cisco Catalyst SD-WAN Controller и получила номер CVE-2026-20182 с максимальной оценкой по CVSS: 10 из 10. По данным Cisco Talos, злоумышленники уже используют CVE-2026-20182 в реальных атаках. Специалисты связывают активность с группой UAT-8616, которая ранее использовала похожую уязвимость CVE-2026-20127. Об этом пишет Securitylab.

После взлома атакующие добавляли собственные SSH-ключи, меняли конфигурацию NETCONF и пытались получить права root. Часть инфраструктуры злоумышленников пересекается с сетями Operational Relay Box, которые используют для сокрытия источников атак.

Rapid7 выяснила, что уязвимость скрывалась в сервисе vdaemon, работающем через UDP-порт 12346. Ошибка позволяет подключиться к контроллеру под видом доверенного устройства типа vHub. Система не проверяет сертификат для такого типа устройств и автоматически помечает подключение как доверенное. После обхода проверки злоумышленник может внедрить собственный SSH-ключ в учётную запись vmanage-admin и получить постоянный доступ к сервису NETCONF через SSH.

Специалисты Rapid7 показали полноценную цепочку атаки. Для эксплуатации достаточно установить DTLS-соединение с любым самоподписанным сертификатом, отправить специально сформированный пакет CHALLENGE_ACK и затем активировать соединение командой Hello. После этого контроллер считает атакующего доверенным участником SD-WAN-сети.

Cisco Talos также сообщила о массовых атаках на другие уязвимости SD-WAN: CVE-2026-20133, CVE-2026-20128 и CVE-2026-20122. Атакующие объединяли ошибки в цепочку, чтобы получить удалённый доступ к необновлённым системам. После взлома злоумышленники размещали веб-оболочки XenShell, Godzilla и Behinder, запускали майнер XMRig, инструменты удалённого управления Sliver и AdaptixC2, а также похищали учётные данные и ключи AWS.

В одном из эпизодов злоумышленники использовали модифицированный вредонос на языке Nim, который, по оценке Cisco Talos, могли создать с помощью систем искусственного интеллекта. Вредонос загружали через платформу Replit, а затем применяли для удалённого выполнения команд, кражи файлов и сбора информации о системе.