Cisco potwierdza kolejne aktywnie wykorzystywane luki w Catalyst SD-WAN: co oznaczają CVE-2026-20122 i CVE-2026-20128 dla Twojej sieci

Wprowadzenie do problemu / definicja luki

Cisco ponownie podnosi alert dla środowisk SD-WAN: tym razem chodzi o dwie kolejne podatności w Cisco Catalyst SD-WAN Manager (dawniej vManage), które — według aktualizacji Cisco PSIRT — są aktywnie wykorzystywane w atakach. W praktyce to sygnał, iż zagrożenie przestaje być „teoretyczne”: ktoś już buduje łańcuchy ataku i poluje na niezaktualizowane instancje w sieci.

W skrócie

• Cisco wskazało aktywną eksploatację CVE-2026-20122 i CVE-2026-20128 dotyczących Catalyst SD-WAN Manager.
• CVE-2026-20122: nadpisywanie plików przez API (wymaga poświadczeń „read-only” z dostępem do API), potencjalnie prowadzi do eskalacji uprawnień.
• CVE-2026-20128: ujawnienie informacji związane z DCA (Data Collection Agent) – lokalny atakujący z ważnymi poświadczeniami vManage może odczytać hasło DCA i użyć go do dalszej eskalacji/pivotu; wydania 20.18+ nie są podatne.
• W tle pozostaje wcześniejszy, krytyczny problem: CVE-2026-20127 (auth bypass) aktywnie wykorzystywany w kampaniach co najmniej od 2023 r., powiązanych przez Talos z klastrem UAT-8616 i techniką „rogue peers” w warstwie kontrolnej SD-WAN.

Kontekst / historia / powiązania

Wątek Cisco SD-WAN ciągnie się już od ujawnienia aktywnej eksploatacji CVE-2026-20127, czyli obejścia uwierzytelniania w mechanizmie peeringu (Controller/vSmart oraz Manager/vManage). NVD opisuje ją wprost jako zdalny, nieuwierzytelniony bypass prowadzący do uzyskania uprawnień administracyjnych.

Cisco Talos dorzuciło najważniejszy element operacyjny: atakujący (UAT-8616) mieli wykorzystywać CVE-2026-20127 do wejścia, a następnie wykonywać działania post-kompromitacyjne ukierunkowane na utrzymanie dostępu i eskalację (m.in. scenariusze z „rogue peering” i manipulacją wersjami). Talos wskazuje też, iż obserwowana aktywność sięga co najmniej 2023 r.

Na tym tle nowe informacje Cisco (aktywna eksploatacja CVE-2026-20122 i CVE-2026-20128) wyglądają jak kolejny etap „dozbrajania” arsenału: nie tylko wejście i kontrola płaszczyzny zarządzania, ale też poszerzanie możliwości eskalacji, dostępu do plików i pivotu w obrębie infrastruktury zarządzającej SD-WAN.

Analiza techniczna / szczegóły luki

CVE-2026-20122 — arbitrary file overwrite przez API (Catalyst SD-WAN Manager)

To podatność w API SD-WAN Manager, która pozwala zdalnemu, uwierzytelnionemu atakującemu nadpisywać dowolne pliki w lokalnym systemie plików. Warunek jest istotny: atak wymaga ważnych poświadczeń read-only z dostępem do API. Mechanizm bazuje na nieprawidłowej obsłudze plików w interfejsie API; atakujący może wgrać złośliwy plik i doprowadzić do nieautoryzowanych zmian po stronie systemu.

Dlaczego „read-only” nie uspokaja? W praktyce wiele incydentów zaczyna się od kradzieży nisko-uprzywilejowanych kont (phishing, password spraying, reuse). jeżeli takie konto ma dostęp do API, „read-only” przestaje oznaczać „bezpieczne”, bo błąd pozwala przejść z warstwy uprawnień aplikacyjnych na manipulację plikami systemu.

CVE-2026-20128 — ujawnienie danych/poświadczeń DCA (Data Collection Agent)

NVD opisuje podatność jako wynik obecności pliku z poświadczeniami DCA na systemie: lokalny atakujący (z ważnymi poświadczeniami vManage) może uzyskać dostęp do systemu plików jako nisko-uprzywilejowany użytkownik i odczytać plik zawierający hasło DCA, a następnie wykorzystać to do uzyskania uprawnień DCA i potencjalnie ruchu bocznego do innych systemów. Ważna informacja eksploatacyjna: wydania Catalyst SD-WAN Manager 20.18 i nowsze nie są podatne.

CVE-2026-20127 — auth bypass w peering authentication (Controller/Manager)

Ta luka jest istotna, bo uderza w fundament zaufania płaszczyzny kontrolnej: pozwala nieuwierzytelnionemu zdalnemu atakującemu ominąć uwierzytelnianie i uzyskać uprawnienia administracyjne w dotkniętym systemie.
Talos wiąże ją z działaniami UAT-8616 i podkreśla scenariusze, w których atakujący ustanawiają nieautoryzowane połączenia peer (np. wyglądające „normalnie”, ale w nietypowych porach, z obcych adresów IP lub z nietypowymi rolami peerów), co może otwierać drogę do dalszej kompromitacji sieci.

Praktyczne konsekwencje / ryzyko

1. Przejęcie płaszczyzny zarządzania SD-WAN oznacza potencjalnie przejęcie polityk routingu, tuneli, segmentacji, list ACL, a w konsekwencji — pełny wpływ na ruch między lokalizacjami.
2. Łańcuchowanie podatności: CVE-2026-20122 i CVE-2026-20128 nie muszą być „pierwszym krokiem”. Mogą być wykorzystywane po zdobyciu dostępu (np. skradzione API creds / dostęp lokalny), żeby zwiększyć uprawnienia i trwałość.
3. Ryzyko trudnej detekcji: Talos zwraca uwagę na artefakty post-kompromitacyjne, m.in. tworzenie i kasowanie kont, „czyszczenie” historii, anomalie w logach, nieautoryzowane sesje root/SSH i nietypowe zdarzenia peeringu.

Rekomendacje operacyjne / co zrobić teraz

1. Zidentyfikuj ekspozycję i wersje
   • Zrób szybki spis instancji Catalyst SD-WAN Manager/Controller oraz ich wersji.
   • Priorytet: systemy wystawione do Internetu i te, do których mają dostęp zewnętrzni operatorzy/partnerzy.
2. Aktualizuj i zamykaj okno podatności
   • Dla CVE-2026-20128: jeżeli jesteś na linii < 20.18, potraktuj aktualizację jako pilną (20.18+ niepodatne wg NVD).
   • Dla CVE-2026-20122: traktuj to jako błąd, który może zostać uruchomiony po przejęciu choćby słabszych poświadczeń API.
   • Tam gdzie to możliwe: ogranicz czas „pomiędzy” (patch window), bo Cisco wskazało aktywną eksploatację.
3. Zredukuj powierzchnię ataku (hardening „tu i teraz”)
   • Odizoluj vManage/Manager w sieci administracyjnej (VPN/Zero Trust), unikaj publicznej ekspozycji panelu i API.
   • Ogranicz dostęp do API (ACL, allowlist IP, mTLS jeżeli wspierane, segmentacja).
   • Wymuś MFA dla kont zarządzających i zrób przegląd kont „read-only” z API access (czy są potrzebne?).
4. Hunting i detekcja (praktycznie)
   • Przejrzyj logi pod kątem anomalii peeringu i „rogue peers”: nietypowe pory, nieznane IP, niepasujące role (vmanage/vsmart/vedge/vbond), krótkie uptimes połączeń.
   • Szukaj symptomów działań po uzyskaniu dostępu: brak/wyczyszczone bash_history, nietypowe wpisy SSH (authorized_keys), nieoczekiwane konta, ślady manipulacji logami.
   • Jeśli wykryjesz oznaki kompromitacji: rozważ rotację kluczy/sekretów, przegląd konfiguracji SD-WAN i ponowną walidację peerów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Wzorzec jest coraz bardziej powtarzalny w skali branży: urządzenia brzegowe i systemy zarządzania (VPN, firewalle, SD-WAN) są atrakcyjne, bo:

• stoją „na styku” sieci i często mają szerokie zaufanie,
• kompromitacja zarządzania daje efekt dźwigni (jedno przejęcie → wiele lokalizacji),
• ataki często łączą wejście (auth bypass / RCE) z utrwaleniem (eskalacja, klucze, konta, czyszczenie śladów) — dokładnie to, co Talos opisuje w aktywności UAT-8616.

Podsumowanie / najważniejsze wnioski

• Cisco podniosło alarm: CVE-2026-20122 i CVE-2026-20128 w Catalyst SD-WAN Manager są aktywnie wykorzystywane w atakach.
• Technicznie: 20122 dotyka API i pozwala na nadpisywanie plików przy posiadaniu poświadczeń API; 20128 to problem z ujawnieniem hasła DCA (i brakiem podatności w 20.18+).
• W szerszym obrazie to kolejna fala wokół SD-WAN, gdzie krytyczny CVE-2026-20127 i kampanie opisane przez Talos pokazują, iż atakujący potrafią działać długo i metodycznie (rogue peers, działania post-kompromitacyjne).

Źródła / bibliografia

• BleepingComputer — „Cisco flags more SD-WAN flaws as actively exploited in attacks” (BleepingComputer)
• Cisco Talos — „Active exploitation of Cisco Catalyst SD-WAN by UAT-8616” (Cisco Talos Blog)
• NVD (NIST) — CVE-2026-20127 (NVD)
• NVD (NIST) — CVE-2026-20128 (NVD)
• Tenable — CVE-2026-20122 (Tenable®)