Egy rendkívül kifinomult kiberkémkedési kampányra derült fény, amely egy eddig ismeretlen sérülékenységet használt ki a Cisco széles körben alkalmazott SD-WAN infrastruktúrájában.
A hiba – CVE-2026-20127 – legalább 2023 óta aktív kihasználás alatt állt, és a Cisco Catalyst SD-WAN Controller (korábban vSmart) rendszert érinti.
🔓 A sérülékenység jellege: hitelesítés megkerülése
A problémát először az Australian Cyber Security Centre (ACSC) jelentette.
A hiba egy authentication bypass mechanizmus:
- A peering hitelesítési folyamat gyengeségét használja ki
- Speciálisan kialakított kérésekkel
- Érvényes hitelesítő adatok nélkül
A támadó így magas jogosultságú belső felhasználói hozzáférést szerezhet.
Ez különösen veszélyes, mert:
- Hozzáférést biztosít a NETCONF protokollhoz
- Lehetővé teszi konfiguráció módosítását
- Forgalom átirányítását
- Rejtett backdoor létrehozását
🛠 Hogyan lett belőle teljes kompromittálás?
A Cisco Talos elemzése szerint a UAT-8616 néven követett csoport a következő módszert alkalmazta:
- Hozzáférés szerzése CVE-2026-20127 segítségével
- Rendszer downgrade egy korábbi, sérülékeny verzióra
- CVE-2022-20775 kihasználása root jogosultság megszerzéséhez
- Rendszer visszaállítása eredeti verzióra a nyomok eltüntetéséhez
Ez egy klasszikus APT (Advanced Persistent Threat) módszertan:
✔ Jogosultság-eszkaláció
✔ Perzisztencia
✔ Minimális log nyom
A művelet komplexitása államilag támogatott háttérre utalhat.
🌐 Miért veszélyes az SD-WAN infrastruktúra?
Az SD-WAN vezérlők:
- A vállalati hálózat határán helyezkednek el
- Teljes hálózati forgalmat kezelnek
- Gyakran kevésbé monitorozottak, mint endpoint rendszerek
Egy kompromittált SD-WAN controller:
→ Teljes hálózati láthatóság
→ Forgalom manipuláció
→ Oldalsó mozgás lehetősége
→ Kritikus infrastruktúra hozzáférés
🚨 Nemzetközi reakció
Az ügy koordinált nemzetközi válaszlépéseket váltott ki.
Az Egyesült Államokban a Cybersecurity and Infrastructure Security Agency (CISA) sürgősségi irányelvet adott ki.
Szövetségi szervek számára előírt intézkedések:
- Összes Cisco SD-WAN rendszer azonosítása
- Snapshot és log mentés
- Azonnali patch telepítés
- Threat hunting
- Cisco hardening guideline implementálása
⚠ Miért nem elég csak patch-elni?
Mivel a kihasználás évek óta tart:
- Lehetséges hosszú távú perzisztencia
- Rejtett konfigurációs módosítások
- Rogue peer kapcsolatok
Szakértők szerint teljes forenzikus vizsgálat szükséges lehet.
📈 Szélesebb trend: edge infrastruktúra célkeresztben
Ez az eset beleillik egy globális mintázatba:
- Routerek
- Tűzfalak
- SD-WAN vezérlők
Az edge eszközök ma elsődleges támadási felületet jelentenek.
🔐 Azonnali teendők szervezetek számára
✔ Logok ellenőrzése peer kapcsolat változásokra
✔ Konfiguráció integritás vizsgálat
✔ Downgrade események keresése
✔ Patch telepítés
✔ Zero-trust elvek megerősítése
✔ Hálózati eszközök folyamatos monitorozása
🧠 Stratégiai tanulság
Ez az incidens három kritikus problémára világít rá:
- Az alap infrastruktúra gyakran vakfolt a monitoringban
- A downgrade + exploit lánc kifinomult támadási minta
- Az edge eszközök kompromittálása teljes hálózati kontrollt jelent
A modern kiberbiztonság egyik legnagyobb kihívása:
Láthatóság biztosítása azokban a rendszerekben, amelyek a digitális működés alapját adják.
