Korisnici Cisco Catalyst SD-WAN ciljani u nizu sajber napada

Britanski Nacionalni centar za sajber sigurnost (NCSC) i njegove partnerske agencije u grupi za razmjenu obavještajnih podataka Anglophone Five Eyes upozorili su korisnike softverski definiranih mreža širokog područja Cisco Catalyst (SD-WAN) da odmah preduzmu akciju nakon što identifikuju klaster aktivnosti prijetnji usmjerenih na široko korištene proizvode.

Čini se da je aktivnost neselektivna u svom ciljanju, ali način rada je uglavnom isti – nakon kompromisa, još neimenovani akteri prijetnje dodaju zlonamjernog odmetnika prije nego što provedu naknadne radnje za postizanje root pristupa i održavanje trajnog pristupa mreži žrtve.

„Naše novo upozorenje jasno stavlja do znanja da organizacije koje koriste Cisco Catalyst SD-WAN proizvode treba hitno da istraže svoju izloženost kompromitovanju mreže i da traže zlonamerne aktivnosti, koristeći nove savete za lov na pretnje proizvedene sa našim međunarodnim partnerima kako bi identifikovale dokaze o kompromitovanju“, rekao je glavni tehnološki direktor NCSC (CTO) Ollie Whitehouse. „Organizacijama iz Ujedinjenog Kraljevstva se snažno savjetuje da prijave kompromise NCSC-u i da primjene ažuriranja dobavljača i smjernice za jačanje čim je to izvodljivo kako bi se smanjio rizik od eksploatacije.”

NCSC je rekao da se čini da sama aktivnost datira iz 2023. godine, a Cisco je sada zakrpio niz ranjivosti u Catalyst SD-WAN Manageru i Catalyst SD-WAN kontroleru.

Glavni među ovim problemima, koji najviše zabrinjava Cisco, je CVE-2026-20127, ranjivost zaobilaženja autentifikacije u Catalyst SD-WAN. U savjetovanju, Cisco je rekao da je ranjivost nastala zbog kvara mehanizma peering autentifikacije na pogođenom sistemu.

“Napadač bi mogao iskoristiti ovu ranjivost slanjem kreiranih zahtjeva na pogođeni sistem. Uspješno iskorištavanje može omogućiti napadaču da se prijavi na pogođeni Cisco Catalyst SD-WAN kontroler kao interni, visoko privilegirani, ne–root korisnički račun. Koristeći ovaj nalog, napadač bi mogao da pristupi NETCONF-u, što bi onda omogućilo napadaču da manipuliše konfiguracijom mreže za SD-WAN tkaninu,” rekao je dobavljač. “Cisco je objavio ažuriranja softvera koja rešavaju ovu ranjivost. Ne postoje rješenja koja bi riješila ovu ranjivost.”

Čini se da su organizacije sa upravljačkim interfejsima izloženim javnom internetu izložene najvećem riziku od kompromisa – izlaganje upravljačkih interfejsa internetu je krajnje nepromišljeno.

Osim vršenja potrage za prijetnjama u potrazi za dokazima o kompromitovanju, kao što je detaljno opisano u nedavno objavljenom Vodiču za lov – dostupnom ovdje – sigurnosni timovi bi trebali odmah ažurirati na odgovarajuće fiksne najnovije verzije Catalyst SD-WAN Managera i Controllera i primijeniti Cisco Catalyst SD-WAN Hardening Guide koji je sada dostupan od Cisco-a.

Organizacijama sa sjedištem u Ujedinjenom Kraljevstvu koje otkriju da su možda kompromitovane savjetuje se da odmah prikupe artefakte sa relevantnog uređaja i prijave ih NCSC-u.

U SAD-u, Agencija za kibernetičku i infrastrukturnu sigurnost (Cisa) izdala je paralelnu hitnu direktivu kojom se nalaže vladinim organizacijama da preduzmu akciju do 23:59 EST (04:59 GMT) u četvrtak, 26. februara, i da u potpunosti primjene zakrpe do 17:00 EST u petak.

Pročitajte više o Upravljanju sigurnošću mreže

• Zen Internet lansira Meraki za isporuku SD-WAN portfelja

  Autor: Joe O’Halloran

• Ciscova vizija za Networking Cloud postaje jasna

  Autor: Bob Laliberte

• Cisco objavljuje planove za Networking Cloud

  Autor: Antone Gonsalves

• Cisco Viptela SD-WAN se integriše sa SASE radi bolje sigurnosti

  Autor: Mary Reines