⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na quinta-feira uma vulnerabilidade recém-divulgada que afeta o Cisco Catalyst SD-WAN Controller ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências do Poder Executivo Civil Federal (FCEB) corrijam o problema até 17 de maio de 2026.
A vulnerabilidade é um desvio de autenticação crítico rastreado como CVE-2026-20182. É classificado como 10,0 no sistema de pontuação CVSS, indicando gravidade máxima.
“O controlador e gerenciador Cisco Catalyst SD-WAN contém uma vulnerabilidade de desvio de autenticação que permite que um invasor remoto não autenticado ignore a autenticação e obtenha privilégios administrativos em um sistema afetado”, disse a CISA.
Em um comunicado separado, a Cisco atribuiu a exploração ativa do CVE-2026-20182 com alta confiança ao UAT-8616, o mesmo cluster por trás da transformação do CVE-2026-20127 em arma para obter acesso não autorizado a sistemas SD-WAN.
“O UAT-8616 executou ações pós-comprometimento semelhantes após explorar com sucesso o CVE-2026-20182, como foi observado na exploração do CVE-2026-20127 pelo mesmo ator de ameaça”, disse Cisco Talos. "O UAT-8616 tentou adicionar chaves SSH, modificar configurações NETCONF e escalar para privilégios de root."
Avalia-se que a infraestrutura usada pelo UAT-8616 para realizar atividades de exploração e pós-comprometimento se sobrepõe às redes Operational Relay Box (ORB), com a empresa de segurança cibernética também observando vários clusters de ameaças explorando CVE-2026-20133, CVE-2026-20128 e CVE-2026-20122 a partir de março de 2026.
As três vulnerabilidades, quando encadeadas, podem permitir que um invasor remoto não autenticado obtenha acesso não autorizado ao dispositivo. Eles foram adicionados ao catálogo KEV da CISA no mês passado.
Descobriu-se que a atividade aproveita o código de exploração de prova de conceito disponível publicamente para implantar web shells em sistemas hackeados, permitindo que os operadores executem comandos bash arbitrários. Um desses web shells baseados em JavaServer Pages (JSP) recebeu o codinome XenShell devido ao uso de um PoC lançado pelo ZeroZenX Labs.
Pelo menos 10 clusters diferentes foram ligados à exploração das três falhas -
Cluster 1 (ativo desde pelo menos 6 de março de 2026), que implanta o web shell Godzilla
Cluster 2 (ativo desde pelo menos 10 de março de 2026), que implanta o web shell Behinder
Cluster 3 (ativo desde pelo menos 4 de março de 2026), que implanta o web shell XenShell e uma variante do Behinder
Cluster 4 (ativo desde pelo menos 3 de março de 2026), que implanta uma variante do webshell Godzilla
Cluster 5 (ativo desde pelo menos 13 de março de 2026), cujo agente de malware compilou a partir da estrutura de equipe vermelha AdaptixC2
Cluster 6 (ativo desde pelo menos 5 de março de 2026), que implanta a estrutura de comando e controle (C2) Sliver
Cluster 7 (ativo desde pelo menos 25 de março de 2026), que implanta um minerador XMRig
Cluster 8 (ativo desde pelo menos 10 de março de 2026), que implanta a ferramenta de mapeamento de ativos KScan e um backdoor baseado em Nim que provavelmente é baseado no NimPlant e vem com recursos para realizar operações de arquivo, executar arquivos usando bash e coletar informações do sistema
Cluster 9 (ativo desde pelo menos 17 de março de 2026), que implanta um minerador XMRig e uma ferramenta de proxy e tunelamento baseada em pares chamada gsocket
Cluster 10 (ativo desde pelo menos 13 de março de 2026), que implanta um ladrão de credenciais que tenta obter o hashdump de um usuário administrador, blocos de chave JSON Web Tokens (JWT) usados para autenticação de API REST e credenciais da AWS para vManage
A Cisco recomenda que os clientes sigam as orientações e recomendações descritas nos comunicados sobre as vulnerabilidades mencionadas acima para proteger seus ambientes.
A vulnerabilidade é um desvio de autenticação crítico rastreado como CVE-2026-20182. É classificado como 10,0 no sistema de pontuação CVSS, indicando gravidade máxima.
“O controlador e gerenciador Cisco Catalyst SD-WAN contém uma vulnerabilidade de desvio de autenticação que permite que um invasor remoto não autenticado ignore a autenticação e obtenha privilégios administrativos em um sistema afetado”, disse a CISA.
Em um comunicado separado, a Cisco atribuiu a exploração ativa do CVE-2026-20182 com alta confiança ao UAT-8616, o mesmo cluster por trás da transformação do CVE-2026-20127 em arma para obter acesso não autorizado a sistemas SD-WAN.
“O UAT-8616 executou ações pós-comprometimento semelhantes após explorar com sucesso o CVE-2026-20182, como foi observado na exploração do CVE-2026-20127 pelo mesmo ator de ameaça”, disse Cisco Talos. "O UAT-8616 tentou adicionar chaves SSH, modificar configurações NETCONF e escalar para privilégios de root."
Avalia-se que a infraestrutura usada pelo UAT-8616 para realizar atividades de exploração e pós-comprometimento se sobrepõe às redes Operational Relay Box (ORB), com a empresa de segurança cibernética também observando vários clusters de ameaças explorando CVE-2026-20133, CVE-2026-20128 e CVE-2026-20122 a partir de março de 2026.
As três vulnerabilidades, quando encadeadas, podem permitir que um invasor remoto não autenticado obtenha acesso não autorizado ao dispositivo. Eles foram adicionados ao catálogo KEV da CISA no mês passado.
Descobriu-se que a atividade aproveita o código de exploração de prova de conceito disponível publicamente para implantar web shells em sistemas hackeados, permitindo que os operadores executem comandos bash arbitrários. Um desses web shells baseados em JavaServer Pages (JSP) recebeu o codinome XenShell devido ao uso de um PoC lançado pelo ZeroZenX Labs.
Pelo menos 10 clusters diferentes foram ligados à exploração das três falhas -
Cluster 1 (ativo desde pelo menos 6 de março de 2026), que implanta o web shell Godzilla
Cluster 2 (ativo desde pelo menos 10 de março de 2026), que implanta o web shell Behinder
Cluster 3 (ativo desde pelo menos 4 de março de 2026), que implanta o web shell XenShell e uma variante do Behinder
Cluster 4 (ativo desde pelo menos 3 de março de 2026), que implanta uma variante do webshell Godzilla
Cluster 5 (ativo desde pelo menos 13 de março de 2026), cujo agente de malware compilou a partir da estrutura de equipe vermelha AdaptixC2
Cluster 6 (ativo desde pelo menos 5 de março de 2026), que implanta a estrutura de comando e controle (C2) Sliver
Cluster 7 (ativo desde pelo menos 25 de março de 2026), que implanta um minerador XMRig
Cluster 8 (ativo desde pelo menos 10 de março de 2026), que implanta a ferramenta de mapeamento de ativos KScan e um backdoor baseado em Nim que provavelmente é baseado no NimPlant e vem com recursos para realizar operações de arquivo, executar arquivos usando bash e coletar informações do sistema
Cluster 9 (ativo desde pelo menos 17 de março de 2026), que implanta um minerador XMRig e uma ferramenta de proxy e tunelamento baseada em pares chamada gsocket
Cluster 10 (ativo desde pelo menos 13 de março de 2026), que implanta um ladrão de credenciais que tenta obter o hashdump de um usuário administrador, blocos de chave JSON Web Tokens (JWT) usados para autenticação de API REST e credenciais da AWS para vManage
A Cisco recomenda que os clientes sigam as orientações e recomendações descritas nos comunicados sobre as vulnerabilidades mencionadas acima para proteger seus ambientes.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisa #adiciona #cisco #sdwan #cve202620182 #ao #kev #após #explorações #de #acesso #de #administrador
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário