思科SD-WAN零日漏洞CVE-2026-20127自2023年起被利用获取管理员权限

思科Catalyst SD-WAN控制器（原vSmart）和Catalyst SD-WAN管理器（原vManage）中新披露的最高严重级别安全漏洞已在野外遭到恶意活动的积极利用，这种攻击活动可追溯至2023年。

该漏洞编号为CVE-2026-20127（CVSS评分：10.0），允许未经身份验证的远程攻击者通过向受影响系统发送精心制作的请求来绕过身份验证并获得管理特权。

成功利用该漏洞可使攻击者在系统上获得内部高权限非根用户账户的提升权限。

"此漏洞的存在是因为受影响系统中的对等身份验证机制无法正常工作，"思科在公告中表示，并补充说威胁行为者可以利用非根用户账户访问NETCONF并操控SD-WAN架构的网络配置。

该缺陷影响以下部署类型，不受设备配置影响：

本地部署

思科托管SD-WAN云

思科托管SD-WAN云-思科管理型

思科托管SD-WAN云-FedRAMP环境

思科感谢澳大利亚信号局的澳大利亚网络安全中心（ASD-ACSC）报告了这一漏洞。这家网络设备巨头正在以UAT-8616的代号追踪该利用行为和后续的入侵后活动，将该集群描述为"高度复杂的网络威胁行为者"。

该漏洞已在以下思科Catalyst SD-WAN版本中得到修复：

20.91版本之前-迁移至修复版本

20.9版本-20.9.8.2（预计2026年2月27日发布）

20.111版本-20.12.6.1

20.12.5版本-20.12.5.3

20.12.6版本-20.12.6.1

20.131版本-20.15.4.2

20.141版本-20.15.4.2

20.15版本-20.15.4.2

20.161版本-20.18.2.1

20.18版本-20.18.2.1

"暴露在互联网上且有端口暴露在互联网上的思科Catalyst SD-WAN控制器系统存在被入侵的风险，"思科警告说。

该公司还建议客户审计"/var/log/auth.log"文件，查找来自未知或未授权IP地址的"Accepted publickey for vmanage-admin"相关条目。还建议检查auth.log日志文件中的IP地址是否与思科Catalyst SD-WAN管理器Web用户界面中列出的已配置系统IP匹配。

根据ASD-ACSC发布的信息，UAT-8616据称自2023年起通过零日漏洞入侵思科SD-WAN，使其能够获得提升访问权限。

"该漏洞允许恶意网络行为者创建一个流氓对等设备，加入组织SD-WAN的网络管理平面或控制平面，"ASD-ACSC表示。"流氓设备表现为一个新的但临时的、由行为者控制的SD-WAN组件，可以在管理和控制平面内执行受信任的操作。"

在成功入侵面向公众的应用程序后，攻击者被发现利用内置更新机制执行软件版本降级，并通过利用CVE-2022-20775（CVSS评分：7.8）——思科SD-WAN软件CLI中的高严重级别权限提升漏洞——升级到根用户，然后将软件恢复到原来运行的版本。

威胁行为者启动的后续步骤包括：

创建模仿其他本地用户账户的本地用户账户

为根访问添加安全外壳协议（SSH）授权密钥，并修改SD-WAN相关启动脚本以自定义环境

使用端口830上的网络配置协议（NETCONF）和SSH连接到管理平面内的思科SD-WAN设备

通过清除"/var/log"下的日志、命令历史记录和网络连接历史记录来清除入侵证据

"UAT-8616的尝试利用表明网络边缘设备持续成为网络威胁行为者的目标，这些行为者试图在高价值组织（包括关键基础设施部门）中建立持久立足点，"Talos表示。

这一发展促使网络安全与基础设施安全局（CISA）将CVE-2022-20775和CVE-2026-20127都添加到其已知被利用漏洞（KEV）目录中，要求联邦民事执行部门（FCEB）机构在24小时内应用修复程序。

为了检查版本降级和意外重启事件，CISA建议分析以下日志：

/var/volatile/log/vdebug

/var/log/tmplog/vdebug

/var/volatile/log/sw_script_synccdb.log

CISA还发布了新的紧急指令26-03：缓解思科SD-WAN系统漏洞，作为该指令的一部分，要求联邦机构清点SD-WAN设备、应用更新并评估潜在入侵。

为此，各机构被要求在2026年2月26日东部时间晚11:59之前提供其网络上所有范围内SD-WAN系统的目录。此外，它们需要在2026年3月5日东部时间晚11:59之前提交所有范围内产品和已采取行动的详细清单。最后，各机构必须在2026年3月26日东部时间晚11:59之前提交加固其环境所采取的所有步骤清单。

Q&A

Q1：CVE-2026-20127漏洞有多严重？会造成什么影响？

A：CVE-2026-20127是最高严重级别漏洞，CVSS评分达到10.0满分。该漏洞允许未经身份验证的远程攻击者绕过身份验证获得管理特权，成功利用后可在系统上获得内部高权限非根用户账户，进而访问NETCONF并操控SD-WAN网络配置。

Q2：哪些思科SD-WAN产品受到CVE-2026-20127漏洞影响？

A：该漏洞影响思科Catalyst SD-WAN控制器（原vSmart）和Catalyst SD-WAN管理器（原vManage），涵盖本地部署、思科托管SD-WAN云、思科托管SD-WAN云管理型以及FedRAMP环境等所有部署类型，不受设备配置影响。

Q3：UAT-8616攻击组织使用了什么攻击手法？

A：UAT-8616自2023年起利用CVE-2026-20127零日漏洞入侵思科SD-WAN，创建流氓对等设备加入网络管理平面。攻击者还利用内置更新机制执行软件降级，通过CVE-2022-20775漏洞升级到根用户权限，并清除入侵痕迹。