🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma falha de segurança de gravidade máxima recentemente divulgada no Cisco Catalyst SD-WAN Controller (anteriormente vSmart) e no Catalyst SD-WAN Manager (anteriormente vManage) está sob exploração ativa como parte de atividades maliciosas que remontam a 2023.
A vulnerabilidade, rastreada como CVE-2026-20127 (pontuação CVSS: 10,0), permite que um invasor remoto não autenticado ignore a autenticação e obtenha privilégios administrativos no sistema afetado, enviando uma solicitação elaborada para um sistema afetado.
A exploração bem-sucedida da falha poderia permitir que o adversário obtivesse privilégios elevados no sistema como uma conta de usuário interna, de alto privilégio e não root.
“Essa vulnerabilidade existe porque o mecanismo de autenticação de peering em um sistema afetado não está funcionando corretamente”, disse a Cisco em um comunicado, acrescentando que o ator da ameaça poderia aproveitar a conta de usuário não root para acessar NETCONF e manipular a configuração de rede para a estrutura SD-WAN.
A deficiência afeta os seguintes tipos de implantação, independentemente da configuração do dispositivo -
Implantação local
Nuvem SD-WAN hospedada pela Cisco
Nuvem SD-WAN hospedada pela Cisco - gerenciada pela Cisco
Nuvem SD-WAN hospedada pela Cisco - ambiente FedRAMP
A Cisco deu crédito ao Centro Australiano de Segurança Cibernética (ASD-ACSC) da Australian Signals Directorate por relatar a vulnerabilidade. A empresa principal de equipamentos de rede está rastreando a exploração e subsequente atividade pós-comprometimento sob o apelido de UAT-8616, descrevendo o cluster como um “ator de ameaça cibernética altamente sofisticado”.
A vulnerabilidade foi abordada nas seguintes versões do Cisco Catalyst SD-WAN -
Anterior à versão 20.91 – Migre para uma versão fixa.
Versão 20.9 - 20.9.8.2 (lançamento estimado em 27 de fevereiro de 2026)
Versão 20.111 - 20.12.6.1
Versão 20.12.5 - 20.12.5.3
Versão 20.12.6 - 20.12.6.1
Versão 20.131 - 20.15.4.2
Versão 20.141 - 20.15.4.2
Versão 20.15 - 20.15.4.2
Versão 20.161 - 20.18.2.1
Versão 20.18 - 20.18.2.1
“Os sistemas Cisco Catalyst SD-WAN Controller expostos à Internet e que possuem portas expostas à Internet correm o risco de serem comprometidos”, alertou a Cisco.
A empresa também recomendou aos clientes que auditassem o arquivo “/var/log/auth.log” em busca de entradas relacionadas a “Chave pública aceita para vmanage-admin” de endereços IP desconhecidos ou não autorizados. Também é aconselhável verificar os endereços IP no arquivo de log auth.log em relação aos IPs do sistema configurados listados na UI da web do Cisco Catalyst SD-WAN Manager (WebUI > Dispositivos > IP do sistema).
De acordo com informações divulgadas pelo ASD-ACSC, o UAT-8616 teria comprometido Cisco SD-WANs desde 2023 por meio da exploração de dia zero, permitindo-lhe obter acesso elevado.
“A vulnerabilidade permitiu que um ciberator mal-intencionado criasse um peer desonesto unido ao plano de gerenciamento de rede, ou plano de controle, do SD-WAN de uma organização”, disse ASD-ACSC. “O dispositivo não autorizado aparece como um componente SD-WAN novo, mas temporário, controlado por atores, que pode conduzir ações confiáveis dentro do plano de gerenciamento e controle.”
Depois de comprometer com sucesso um aplicativo voltado ao público, descobriu-se que os invasores aproveitaram o mecanismo de atualização integrado para preparar um downgrade de versão de software e escalar para o usuário root, explorando CVE-2022-20775 (pontuação CVSS: 7,8), um bug de escalonamento de privilégios de alta gravidade na CLI do Cisco SD-WAN Software e, em seguida, restaurando o software de volta para a versão que estava executando originalmente.
Algumas das etapas subsequentes iniciadas pelo ator da ameaça são as seguintes -
Criou contas de usuários locais que imitavam outras contas de usuários locais.
Adicionada uma chave autorizada Secure Shell Protocol (SSH) para acesso root e scripts de inicialização relacionados a SD-WAN modificados para personalizar o ambiente.
Protocolo de configuração de rede usado na porta 830 (NETCONF) e SSH para conectar-se a/entre dispositivos Cisco SD-WAN dentro do plano de gerenciamento.
Tomou medidas para limpar as evidências da intrusão, limpando os logs em "/var/log", o histórico de comandos e o histórico de conexões de rede.
“A tentativa de exploração do UAT-8616 indica uma tendência contínua de direcionamento de dispositivos de borda de rede por atores de ameaças cibernéticas que buscam estabelecer pontos de apoio persistentes em organizações de alto valor, incluindo setores de infraestrutura crítica (CI)”, disse Talos.
O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura (CISA) a adicionar CVE-2022-20775 e CVE-2026-20127 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), obrigando as agências do Poder Executivo Civil Federal (FCEB) a aplicar as correções nas próximas 24 horas.
Para verificar downgrade de versão e eventos de reinicialização inesperados, a CISA recomenda analisar os seguintes logs -
/var/volátil/log/vdebug
/var/log/tmplog/vdebug
/var/volátil/log/sw_script_synccdb.log
A CISA também emitiu uma nova diretriz de emergência, 26-03: Mitigar Vulnerabilidade
A vulnerabilidade, rastreada como CVE-2026-20127 (pontuação CVSS: 10,0), permite que um invasor remoto não autenticado ignore a autenticação e obtenha privilégios administrativos no sistema afetado, enviando uma solicitação elaborada para um sistema afetado.
A exploração bem-sucedida da falha poderia permitir que o adversário obtivesse privilégios elevados no sistema como uma conta de usuário interna, de alto privilégio e não root.
“Essa vulnerabilidade existe porque o mecanismo de autenticação de peering em um sistema afetado não está funcionando corretamente”, disse a Cisco em um comunicado, acrescentando que o ator da ameaça poderia aproveitar a conta de usuário não root para acessar NETCONF e manipular a configuração de rede para a estrutura SD-WAN.
A deficiência afeta os seguintes tipos de implantação, independentemente da configuração do dispositivo -
Implantação local
Nuvem SD-WAN hospedada pela Cisco
Nuvem SD-WAN hospedada pela Cisco - gerenciada pela Cisco
Nuvem SD-WAN hospedada pela Cisco - ambiente FedRAMP
A Cisco deu crédito ao Centro Australiano de Segurança Cibernética (ASD-ACSC) da Australian Signals Directorate por relatar a vulnerabilidade. A empresa principal de equipamentos de rede está rastreando a exploração e subsequente atividade pós-comprometimento sob o apelido de UAT-8616, descrevendo o cluster como um “ator de ameaça cibernética altamente sofisticado”.
A vulnerabilidade foi abordada nas seguintes versões do Cisco Catalyst SD-WAN -
Anterior à versão 20.91 – Migre para uma versão fixa.
Versão 20.9 - 20.9.8.2 (lançamento estimado em 27 de fevereiro de 2026)
Versão 20.111 - 20.12.6.1
Versão 20.12.5 - 20.12.5.3
Versão 20.12.6 - 20.12.6.1
Versão 20.131 - 20.15.4.2
Versão 20.141 - 20.15.4.2
Versão 20.15 - 20.15.4.2
Versão 20.161 - 20.18.2.1
Versão 20.18 - 20.18.2.1
“Os sistemas Cisco Catalyst SD-WAN Controller expostos à Internet e que possuem portas expostas à Internet correm o risco de serem comprometidos”, alertou a Cisco.
A empresa também recomendou aos clientes que auditassem o arquivo “/var/log/auth.log” em busca de entradas relacionadas a “Chave pública aceita para vmanage-admin” de endereços IP desconhecidos ou não autorizados. Também é aconselhável verificar os endereços IP no arquivo de log auth.log em relação aos IPs do sistema configurados listados na UI da web do Cisco Catalyst SD-WAN Manager (WebUI > Dispositivos > IP do sistema).
De acordo com informações divulgadas pelo ASD-ACSC, o UAT-8616 teria comprometido Cisco SD-WANs desde 2023 por meio da exploração de dia zero, permitindo-lhe obter acesso elevado.
“A vulnerabilidade permitiu que um ciberator mal-intencionado criasse um peer desonesto unido ao plano de gerenciamento de rede, ou plano de controle, do SD-WAN de uma organização”, disse ASD-ACSC. “O dispositivo não autorizado aparece como um componente SD-WAN novo, mas temporário, controlado por atores, que pode conduzir ações confiáveis dentro do plano de gerenciamento e controle.”
Depois de comprometer com sucesso um aplicativo voltado ao público, descobriu-se que os invasores aproveitaram o mecanismo de atualização integrado para preparar um downgrade de versão de software e escalar para o usuário root, explorando CVE-2022-20775 (pontuação CVSS: 7,8), um bug de escalonamento de privilégios de alta gravidade na CLI do Cisco SD-WAN Software e, em seguida, restaurando o software de volta para a versão que estava executando originalmente.
Algumas das etapas subsequentes iniciadas pelo ator da ameaça são as seguintes -
Criou contas de usuários locais que imitavam outras contas de usuários locais.
Adicionada uma chave autorizada Secure Shell Protocol (SSH) para acesso root e scripts de inicialização relacionados a SD-WAN modificados para personalizar o ambiente.
Protocolo de configuração de rede usado na porta 830 (NETCONF) e SSH para conectar-se a/entre dispositivos Cisco SD-WAN dentro do plano de gerenciamento.
Tomou medidas para limpar as evidências da intrusão, limpando os logs em "/var/log", o histórico de comandos e o histórico de conexões de rede.
“A tentativa de exploração do UAT-8616 indica uma tendência contínua de direcionamento de dispositivos de borda de rede por atores de ameaças cibernéticas que buscam estabelecer pontos de apoio persistentes em organizações de alto valor, incluindo setores de infraestrutura crítica (CI)”, disse Talos.
O desenvolvimento levou a Agência de Segurança Cibernética e de Infraestrutura (CISA) a adicionar CVE-2022-20775 e CVE-2026-20127 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), obrigando as agências do Poder Executivo Civil Federal (FCEB) a aplicar as correções nas próximas 24 horas.
Para verificar downgrade de versão e eventos de reinicialização inesperados, a CISA recomenda analisar os seguintes logs -
/var/volátil/log/vdebug
/var/log/tmplog/vdebug
/var/volátil/log/sw_script_synccdb.log
A CISA também emitiu uma nova diretriz de emergência, 26-03: Mitigar Vulnerabilidade
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisco #sdwan #zeroday #cve202620127 #explorado #desde #2023 #para #acesso #de #administrador
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário