Cisco SD-WAN zero-day: ghost peer nei controller dal 2023
CVE-2026-20127 nei controller Cisco Catalyst SD-WAN ha permesso a un attore avanzato di impersonare un peer trusted per oltre tre anni, ottenendo persistenza r…
Contenuto
Cisco ha rivelato il 26 febbraio 2026 che una vulnerabilità zero-day nei controller Catalyst SD-WAN è stata sfruttata attivamente almeno dal 2023 da un attore avanzato per impersonare un peer trusted nel management plane. La falla, identificata come CVE-2026-20127 con punteggio massimo di 10.0 sulla scala CVSS, consente il bypass dell’autenticazione e ha permesso a un attore sconosciuto di annidarsi nel nucleo delle reti distribuite aziendali e governative, spingendo CISA all’emissione dell’emergency directive ED 26-03. L’allarme è scattato dopo che l’ASD-ACSC ha scoperto la campagna e pubblicato una threat hunting guide co-autorata da CISA, NSA e altri partner internazionali.
- CVE-2026-20127 consente a un attaccante remoto non autenticato di bypassare il peering authentication nei controller Cisco Catalyst SD-WAN, inclusi vSmart e vManage, ottenendo un account interno ad alto privilegio.
- L’attore UAT-8616 ha sfruttato la falla per creare un rogue peer nel management plane o control plane, facendolo apparire come un componente legittimo e temporaneo della topologia.
- Dopo l’accesso iniziale, l’attore ha effettuato un downgrade software per sfruttare la CVE-2022-20775 nota, elevando i privilegi a root e ripristinando poi la versione originale per occultare le tracce.
- CISA ha inserito entrambe le vulnerabilità nel catalogo KEV e ha emesso l’emergency directive ED 26-03 per le agenzie federali, mentre le indagini non hanno rilevato lateral movement o malware C2 al di fuori dei componenti SD-WAN compromessi.
Il meccanismo del ghost peer nel management plane
Il difetto risiede nel meccanismo di peering authentication dei controller Cisco Catalyst SD-WAN, che includono le componenti vSmart e vManage. Secondo l’advisory del vendor, richieste appositamente crafted consentono a un attaccante remoto non autenticato di aggirare la verifica d’identità e ottenere un account interno ad alto privilegio, sebbene non di livello root. Da questa posizione l’attore può instanziare un nuovo peer all’interno del piano di gestione o di controllo, facendolo apparire come un elemento legittimo e temporaneo della topologia SD-WAN.
"The vulnerability allowed a malicious cyber actor to create a rogue peer joined to the network management plane, or control plane, of an organization's SD-WAN" — ASD-ACSC
La presenza di questo peer falsificato nel network management system consente all’attore di interagire con la configurazione della rete come se fosse un nodo legittimo, sfruttando la fiducia intrinseca tra i componenti del piano di controllo SD-WAN.
Da account interno a root: il downgrade e la CVE-2022-20775
L’accesso iniziale non era sufficiente per il controllo totale del nodo. Per scalare i privilegi, l’attore ha effettuato un downgrade del software sulla componente vSmart fino a una versione vulnerabile alla CVE-2022-20775, una local privilege escalation già nota. Sfruttando quella falla con quello che la threat hunting guide co-autorata dai partner Five Eyes descrive come un proof of concept probabilmente pubblico, l’attore ha ottenuto l’esecuzione di comandi come utente root. Al termine dell’operazione, la versione originale del software è stata ripristinata per ridurre la visibilità forense.
Questa tecnica di rollback e upgrade successivo indica una conoscenza approfondita dell’architettura Cisco e della gestione dei pacchetti software sui controller, rendendo complesso rilevare l’intrusione attraverso il solo controllo versionale.
Dopo l’elevazione, la persistenza è stata consolidata attraverso l’inserimento di chiavi SSH autorizzate per l’account root, la modifica di script di avvio, l’uso di sessioni NETCONF e SSH, e la creazione di account locali con nomi mimetiche. Le attività post-compromissione hanno incluso anche la cancellazione selettiva dei log, aumentando la difficoltà di ricostruzione degli incidenti per le vittime.
Oltre tre anni nell'ombra: la timeline e le tecniche anti-forensi
Cisco Talos ha confermato che l’exploitation attiva risale almeno al 2023, indicando una permanenza occulta di oltre tre anni all’interno delle infrastrutture target. Durante questo lasso di tempo, l’attore ha mantenuto un profilo estremamente basso: le indagini non hanno rilevato lateral movement al di fuori dei componenti SD-WAN compromessi, né la distribuzione di malware C2 separato. Questo suggerisce un’operazione mirata al controllo del piano di gestione piuttosto che all’espansione indiscriminata nella rete periferica.
Secondo la valutazione di Cisco Talos, UAT-8616 è classificato come attore altamente sofisticato. Tuttavia, né Talos né i partner internazionali hanno confermato un’attribuzione nazionale o un legame con APT noti; l’identità resta unknown. La citazione di Talos sottolinea che questo modus operandi rientra in un trend più ampio: "UAT-8616's attempted exploitation indicates a continuing trend of the targeting of network edge devices by cyber threat actors looking to establish persistent footholds into high-value organizations, including Critical Infrastructure (CI) sectors".
Non sono stati resi pubblici dettagli su agenzie federali specifiche compromesse, e le fonti non confermano che l’intero parco governativo sia stato violato; il rischio resta legato alla potenziale manipolazione del traffico e alla persistenza infrastrutturale.
L'emergency directive CISA e le patch per i controller
La gravità della minaccia ha spinto CISA a inserire sia la CVE-2026-20127 sia la CVE-2022-20775 nel catalogo KEV e a emettere l’emergency directive ED 26-03 per le agenzie federali. Il testo richiede l’inventario dei dispositivi esposti, l’attivazione di logging esterno, l’applicazione delle patch e la raccolta di artefatti forensi entro scadenze ravvicinate, anche se le fonti editoriali non concordano su un unico termine preciso misurato in ore o giorni.
Bobby Kuzma, citato da Infosecurity Magazine, ha osservato che CISA ha motivo di ritenere che queste vulnerabilità siano state e probabilmente continuino a essere sfruttate per compromettere sistemi governativi, anche se il numero esatto delle vittime pubbliche non è noto.
Cisco ha rilasciato aggiornamenti correttivi per diverse release: le versioni indicate come fixate includono 20.12.6.1, 20.12.5.3, 20.15.4.2, 20.18.2.1 e 20.9.8.2. Gli amministratori devono inoltre analizzare i file auth.log alla ricerca di anomalie nel peering e verificare che nessuna chiave SSH non autorizzata sia presente nei controller, poiché l’attore ha dimostrato di sapere ripristinare l’ambiente dopo aver alterato i sistemi.
Cosa fare adesso
- Patch e verifica build: aggiornare immediatamente i controller alle versioni corrette rilasciate da Cisco (20.12.6.1, 20.12.5.3, 20.15.4.2, 20.18.2.1, 20.9.8.2 o successive) e confrontare le hash delle build installate con quelle ufficiali per escludere manipolazioni precedenti.
- Threat hunting storico: consultare la guida co-autorata da ASD-ACSC e CISA per ricercare IoC legati a UAT-8616, inclusi account locali mimetiche e modifiche ai file di autorizzazione SSH per l’utente root.
- Centralizzazione dei log: implementare immediatamente una raccolta di log fuori banda e fuori dai controller, in modo da preservare evidence su auth.log e sessioni anche in caso di cancellazione locale da parte di un attore con privilegi elevati.
- Ispezione configurazioni: controllare script di avvio, parametri NETCONF e configurazioni SSH per rilevare alterazioni sospette che possano indicare persistenza occulta non rimossa dal semplice reboot o aggiornamento.
L’incidente conferma che il management plane delle SD-WAN è diventato un obiettivo strategico in grado di offrire controllo silenzioso su intere infrastrutture distribuite. La capacità di UAT-8616 di ripristinare la versione originale dopo aver ottenuto i privilegi massimi rende il vettore particolarmente insidioso per le difese basate solo sul controllo della supply chain software. Per le organizzazioni, il caso rappresenta un test sulle capacità di threat hunting retrospettivo più che sulla velocità di patching da oggi in poi.
Domande frequenti
UAT-8616 è attribuito a uno stato o a un gruppo APT noto?
No. Cisco Talos non ha confermato alcuna attribuzione nazionale o collegamento con gruppi APT precedentemente catalogati; l’identità e l’affiliazione di UAT-8616 restano unknown.
Qual è il rischio concreto per le aziende che usano Cisco SD-WAN?
Un attore con controllo root sul controller può teoricamente manipolare il traffico di rete e inserire peer malevoli. Tuttavia, le fonti disponibili non documentano esfiltrazioni di dati, interruzioni di servizio o impatti fisici verificatisi a causa di questa campagna.
CISA ha stabilito una deadline unica e precisa per tutte le agenzie?
Non è possibile affermarlo con certezza. L’emergency directive ED 26-03 impone azioni urgenti, ma le pubblicazioni specializzate riportano indicazioni temporali diverse; il termine esatto non è univocamente confermato dalle fonti.
Fonti
- https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html
- https://www.darkreading.com/vulnerabilities-threats/cisco-sd-wan-zero-day-exploitation-3-years
- https://www.infosecurity-magazine.com/news/cisa-cisco-sd-wan-flaws-directive/
- https://www.securityweek.com/cisco-patches-catalyst-sd-wan-zero-day-exploited-by-highly-sophisticated-hackers/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.