思科Catalyst SD-WAN控制器（原vSmart）和Catalyst SD-WAN管理器（原vManage）中新披露的最高严重级别安全漏洞已在野外遭到恶意活动的积极利用，这种攻击活动可追溯至2023年。

　　该漏洞编号为CVE-2026-20127（CVSS评分：10.0），允许未经身份验证的远程攻击者通过向受影响系统发送精心制作的请求来绕过身份验证并获得管理特权。

　　此漏洞的存在是因为受影响系统中的对等身份验证机制无法正常工作，思科在公告中表示，并补充说威胁行为者可以利用非根用户账户访问NETCONF并操控SD-WAN架构的网络配置。

　　思科感谢澳大利亚信号局的澳大利亚网络安全中心（ASD-ACSC）报告了这一漏洞。这家网络设备巨头正在以UAT-8616的代号追踪该利用行为和后续的入侵后活动，将该集群描述为高度复杂的网络威胁行为者。

　　暴露在互联网上且有端口暴露在互联网上的思科Catalyst SD-WAN控制器系统存在被入侵的风险，思科警告说。

　　根据ASD-ACSC发布的信息，UAT-8616据称自2023年起通过零日漏洞入侵思科SD-WAN，使其能够获得提升访问权限。

　　该漏洞允许恶意网络行为者创建一个流氓对等设备，加入组织SD-WAN的网络管理平面或控制平面，ASD-ACSC表示。流氓设备表现为一个新的但临时的、由行为者控制的SD-WAN组件，可以在管理和控制平面内执行受信任的操作。

　　在成功入侵面向公众的应用程序后，攻击者被发现利用内置更新机制执行软件版本降级，并通过利用CVE-2022-20775（CVSS评分：7.8）——思科SD-WAN软件CLI中的高严重级别权限提升漏洞——升级到根用户，然后将软件恢复到原来运行的版本。

　　使用端口830上的网络配置协议（NETCONF）和SSH连接到管理平面内的思科SD-WAN设备

　　UAT-8616的尝试利用表明网络边缘设备持续成为网络威胁行为者的目标，这些行为者试图在高价值组织（包括关键基础设施部门）中建立持久立足点，Talos表示。

　　这一发展促使网络安全与基础设施安全局（CISA）将CVE-2022-20775和CVE-2026-20127都添加到其已知被利用漏洞（KEV）目录中，要求联邦民事执行部门（FCEB）机构在24小时内应用修复程序。

　　CISA还发布了新的紧急指令26-03：缓解思科SD-WAN系统漏洞，作为该指令的一部分，要求联邦机构清点SD-WAN设备、应用更新并评估潜在入侵。

　　为此，各机构被要求在2026年2月26日东部时间晚11:59之前提供其网络上所有范围内SD-WAN系统的目录。此外，它们需要在2026年3月5日东部时间晚11:59之前提交所有范围内产品和已采取行动的详细清单clash安卓客户端下载 博客。最后，各机构必须在2026年3月26日东部时间晚11:59之前提交加固其环境所采取的所有步骤清单。

　　A：CVE-2026-20127是最高严重级别漏洞，CVSS评分达到10.0满分。该漏洞允许未经身份验证的远程攻击者绕过身份验证获得管理特权，成功利用后可在系统上获得内部高权限非根用户账户，进而访问NETCONF并操控SD-WAN网络配置。

　　A：该漏洞影响思科Catalyst SD-WAN控制器（原vSmart）和Catalyst SD-WAN管理器（原vManage），涵盖本地部署、思科托管SD-WAN云、思科托管SD-WAN云管理型以及FedRAMP环境等所有部署类型，不受设备配置影响。

　　A：UAT-8616自2023年起利用CVE-2026-20127零日漏洞入侵思科SD-WAN，创建流氓对等设备加入网络管理平面。攻击者还利用内置更新机制执行软件降级，通过CVE-2022-20775漏洞升级到根用户权限，并清除入侵痕迹。返回搜狐，查看更多