SD-WAN Cisco sotto attacco: exploit attivi e webshell JSP
Cisco Talos documenta exploitation in-the-wild di vulnerabilità SD-WAN Controller: attore sofisticato UAT-8616 e 10 cluster opportunistici con webshell XenShell
Contenuto
Cisco Talos ha pubblicato un advisory tecnico il 14 maggio 2026 che documenta l'exploitation attiva in-the-wild di vulnerabilità nei Cisco Catalyst SD-WAN Controller e Manager. La ricerca rivela uno scenario bifronte: da un lato il threat actor sofisticato UAT-8616 che sfrutta CVE-2026-20182 per bypassare l'autenticazione e ottenere privilegi amministrativi, dall'altro almeno dieci cluster di attori opportunistici attivi dal marzo 2026.
Questi attori combinano proof-of-concept pubblici, webshell JSP e tooling C2 open-source e noto. Il piano di controllo SD-WAN, nodo critico per la connettività aziendale globale, si è trasformato in una superficie di attacco condivisa tra sofisticazione strategica e commoditizzazione criminale. L'advisory rappresenta al momento la mappatura più dettagliata disponibile su questa campagna.
Talos ha tracciato due fattispecie distinte all'interno dello stesso advisory. La prima è l'attività attribuita con alta confidenza a UAT-8616, limitata in volume ma caratterizzata da post-compromise articolato e mirato. La seconda è la campagna di massa basata su CVE-2026-20133, CVE-2026-20128 e CVE-2026-20122. Queste ultime erano state patcate a febbraio 2026, ma restano attivamente sfruttate su sistemi non aggiornati.
- CVE-2026-20182 consente bypass autenticativo remoto non autenticato con escalation a privilegi amministrativi su SD-WAN Controller/Manager
- UAT-8616, threat actor valutato altamente sofisticato da Talos, ha sfruttato questa vulnerabilità con sovrapposizione alle reti Operational Relay Box
- Almeno dieci cluster distinti hanno utilizzato il PoC di ZeroZenX Labs e le webshell XenShell, Godzilla e Behinder su CVE-2026-20133/128/122 dal marzo 2026
- I tool post-compromise includono AdaptixC2, Sliver, XMRig, KScan/QScan e implant Nim: un arsenale che spazia da tooling C2 open-source e noto a cryptominer
L'articolazione di UAT-8616: dal bypass alla persistenza
La vulnerabilità CVE-2026-20182 rappresenta il punto di ingresso privilegiato per il threat actor UAT-8616. Secondo Talos, l'exploitation consente a un attaccante remoto e non autenticato di eludere completamente il meccanismo di autenticazione e acquisire privilegi amministrativi sul sistema target. L'attore ha immediatamente tradotto l'accesso in operazioni di persistenza e controllo.
UAT-8616 ha tentato di aggiungere chiavi SSH, modificare le configurazioni NETCONF e scalare i privilegi verso root. Queste azioni configurano una persistenza di lungo periodo, trasformando un bypass puntuale in un accesso ricorrente alla rete gestita dal Controller. La sovrapposizione con le reti ORB monitorate da Talos caratterizza l'infrastruttura impiegata.
Talos valuta UAT-8616 come un attore altamente sofisticato. L'infrastruttura di UAT-8616 si sovrappone alle reti Operational Relay Box (ORB) monitorate da Talos. L'advisory non quantifica i sistemi compromessi da questo cluster né fornisce dettagli su obiettivi settoriali. La limitazione volumetrica descritta da Talos come "limitata finora" non attenua la criticità del pattern osservato.
"Successful exploitation of CVE-2026-20182 allows an unauthenticated, remote attacker to bypass authentication and obtain administrative privileges on an affected system."
Cisco Talos
Il fronte opportunistico: dieci cluster e il PoC ZeroZenX
Il secondo fronte documentato da Talos è quantitativamente più ampio e diversificato. A partire dal 3-10 marzo 2026, i ricercatori hanno osservato exploitation diffusa di CVE-2026-20133, CVE-2026-20128 e CVE-2026-20122 su sistemi non patchati. La maggior parte di questa attività ha utilizzato il proof-of-concept pubblicato da ZeroZenX Labs, accompagnato dalla webshell JSP denominata XenShell.
Sono stati identificati almeno dieci cluster distinti di attività post-compromise, ciascuno con caratteristiche proprie ma condividendo tooling e infrastrutture. Oltre a XenShell, Talos ha rilevato il deploy di Godzilla e Behinder, webshell che garantiscono accesso persistente e controllo remoto sui sistemi violati. La varietà degli strumenti conferma la maturità dell'ecosistema criminale.
Gli artefatti post-compromise includono tooling C2 open-source e noto, utilità di scansione e cryptominer. I ricercatori hanno identificato sample AdaptixC2 con endpoint C2 194.163.175.135:4445 dal 13 marzo 2026, sessioni Sliver verso mtls://23.27.143.170:443, e download XMRig dall'indirizzo 83.229.126.195 noto come C2 Cobalt Strike. Sono inoltre presenti KScan, QScan e implant scritti in Nim.
Questa proliferazione di tooling indica che l'exploitation delle tre CVE è diventata un servizio accessibile a più gruppi indipendenti. Talos non ha fornito attribuzione nazionale per questi cluster e non è chiaro se i dieci gruppi siano indipendenti o parti di un ecosistema affiliato. La condivisione del PoC ha abbassato la soglia di accesso alla compromissione su larga scala.
Cosa fare adesso
Gli amministratori devono verificare immediatamente lo stato di patching dei sistemi Cisco Catalyst SD-WAN Controller e Manager. Le vulnerabilità CVE-2026-20133, CVE-2026-20128 e CVE-2026-20122 dispongono di aggiornamenti disponibili da febbraio 2026: l'applicazione tempestiva di queste patch interrompe la superficie di attacco conosciuta e neutraizza il PoC ZeroZenX e le webshell JSP associate.
Per quanto riguarda CVE-2026-20182, è necessario consultare l'advisory Cisco Talos per eventuali indicazioni aggiornate. Nel frattempo, i team di sicurezza devono ispezionare i log di autenticazione e monitorare con particolare attenzione aggiunte non autorizzate di chiavi SSH, modifiche alle configurazioni NETCONF e tentativi di escalation a root. La ricerca su indicatori di compromissione relativi a AdaptixC2, Sliver e XenShell deve essere prioritaria.
È opportuno segmentare l'accesso al piano di controllo SD-WAN dalla rete aziendale generale e limitare la visibilità delle interfacce di gestione solo agli endpoint autorizzati. Le organizzazioni dovrebbero inoltre effettuare una scansione delle directory web alla ricerca di file JSP sospetti, dati i pattern di deploy di XenShell, Godzilla e Behinder documentati da Talos nei sistemi compromessi.
Perché il piano di controllo SD-WAN è un obiettivo strategico
Il Controller SD-WAN rappresenta il cervello della connettività distribuita. La sua compromissione non si limita al singolo asset, ma espone a pivoting interno, violazione della segmentazione e potenziale intercettazione del traffico WAN. Quando un attore come UAT-8616 ottiene privilegi amministrativi, il perimetro di sicurezza dell'intera organizzazione si sposta drasticamente verso l'interno.
La coesistenza di un attore sofisticato e di dieci cluster opportunistici sulla stessa superficie di attacco delineata da Talos conferma che il piano di controllo SD-WAN è divenuto un target ad alta rilevanza. La frequenza degli attacchi documentati dal marzo 2026 e la varietà del tooling impiegato suggeriscono che questa superficie rimarrà attivamente contesa nei prossimi mesi.
L'advisory Talos offre una mappatura dettagliata sulla compromissione attiva di questi sistemi, ma la visibilità rimane limitata alla raccolta dei sensori dell'azienda. La mancanza di dati sul numero esatto di vittime e sullo status di patch per CVE-2026-20182 impone prudenza: le organizzazioni devono assumere che i propri Controller siano sotto scansione e agire di conseguenza senza attendere conferme ulteriori.
Questo articolo si basa esclusivamente sull'advisory Cisco Talos; i dettagli tecnici e gli IoC non sono indipendentemente verificati da altre fonti.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.