Поделиться
В Cisco найдена 10-балльная уязвимость. Ее используют уже два года
Австралийские эксперт по кибербезопасности выявили максимальную уязвимость, которую минимум три года никто не замечал, - кроме, разумеется, хакеров, ею воспользовавшихся.
10-балльный шторм
Cisco раскрыла 10-балльную уязвимость в своих продуктах, которая, по-видимому, эксплуатировалась с 2023 года.
«Баг» CVE-2026-20127, получивший максимальный балл по шкале CVSS, позволяет неавторизованным злоумышленникам обходить всякую аутентификацию и получать повышенные привилегии удаленно. Достаточно правильно сформированного запроса к уязвимой системе. Проблема затрагивает Cisco Catalyst SD-WAN Controller (ранее известный как vSmart) и Catalyst SD-WAN Manager (экс-vManage).
«Уязвимость вызвана некорректной работой механизма одноранговой аутентификации в затронутых ситемах», - говорится в бюллетене Cisco. Вендор отметил также, что злоумышленник может использовать аккаунты без root-привилегий для доступа к NETCONF и производить манипуляции с настройками сетевого окружения.
Проблема затрагивает как локальный вариант развертывания SD-WAN, так и облачный (в т.ч. Cisco Managed и FedRAMP Environment); настройки конкретных устройств Cisco роли не играют.
Уязвимость выявили специалисты Центра кибербезопасности при Директорате связи Австралии (ASD-ACSC). Что касается эксплуатации, то ее Cisco и ASD-ACSC приписывают высокотехнологичному кластеру киберугроз UAT-8616, предположительно китайского происхождения.
С той поры прошло три года
По данным австралийских специалистов, злоумышленники эксплуатировали новообнаруженную уязвимость с 2023 года.
«Уязвимость позволяла злоумышленнику создать поддельное устройство, подключенное к плоскости управления сетью SD-WAN организации», - говорится в публикации ASD-ACSC. - «Поддельное устройство выглядит как новый, временный, компонент SD-WAN, который управляется злоумышленником и может выполнять доверенные действия в плоскости управления».
После успешного взлома общедоступного приложения злоумышленники использовали встроенный механизм обновления для искусственного понижения версии программного обеспечения и повышения привилегий до уровня root, эксплуатируя другую, более раннюю и менее опасную уязвимость CVE-2022-20775 (7,8 балла по шкале CVSS), которая как раз и открывает возможность повысить привилегии для управления командной строкой. После успешной эксплуатации версия ПО возвращается к прежнему значению.
В дальнейшем операторы кампании предпринимают несколько дополнительных шагов. В частности, создают локальные пользовательские аккаунты, имитирующие другие, легитимные; добавляют авторизованный через SSH ключ root-Доступа и модифицируют скрипты на этапе запуска SD-WAN. Кроме того, используя протокол настроек сети (NCP) и порт 830 (NETCONF), а также SSH, операторы кампании подключались к другим устройствам Cisco SD-WAN в одной плоскости управления. После этого предпринимались попытки удалить следы вторжения - логи, историю команд и историю сетевых подключений. Тем не менее, некоторые признаки сохраняются и их можно найти в файлах: /var/volatile/log/vdebug; /var/log/tmplog/vdebug; /var/volatile/log/sw_script_synccdb.log.
Американское агентство по защите инфраструктуры и кибербезопасности (CISA) внесло обе уязвимости в каталог активно эксплуатируемых и предписало госучреждениям установить необходимые исправления в течение суток, а также провести срочные инвентаризацию и аудит всех устройств Cisco SD-WAN и максимально укрепить их безопасность.
«Выбор граничных устройств в качестве мишеней для первичного проникновения в сети - весьма логичный шаг для хакеров: сетевое оборудование нередко является самым слабым местом периметра, не получающим должного внимания от ИТ-служб, - отмечает Александр Зонов, эксперт по информационной безопасности компании SEQ. - То, что эту уязвимость не могли идентифицировать около трех лет свидетельствует как о высоком уровне подготовки хакеров, так и узконаправленном характере их атак».
Короткая ссылка
