Šta se desilo?

Grupa napadača poznata kao UAT-8616 aktivno eksploatiše novu kritičnu ranjivost u Cisco Catalyst SD-WAN kontrolerima i menadžerima. Ranjivost omogućava zaobilaženje autentifikacije sa najvišim mogućim CVSS skorom od 10, što ugrožava mrežnu infrastrukturu korisnika širom sveta. Cisco je izdao zakrpu i dodao ranjivost na listu CISA registra aktivno eksploatisanih nedostataka.

Koga pogađa?

Preduzeća i institucije koja koriste Cisco SD-WAN infrastrukturu, posebno one sa on-premises, cloud i FedRAMP okruženjima. Pogođeni su i privatni sektor i vladine agencije. Ista napadačka grupa je u prethodnom periodu aktivna protiv Cisco firewall-a i SD-WAN sistema, što ukazuje na dugoročnu kampanji. Kompromitovan SD-WAN kontroler može ugroziti čitavu mrežnu arhitekturu organizacije.

Kako se zaštititi?

  • Odmah primenite dostupne zakrpe i ažuriranja koju je Cisco objavio
  • Proverite da li su vaši SD-WAN kontroleri već kompromitovani kroz analizu pristupnih logova
  • Implementirajte posebne kontrole na SD-WAN kontrolerima jer ne zahtevaju kredencijale za eksploataciju
  • Pratite Cisco Talos savete i zvaničnog vodiče za ublažavanje rizika
  • Razmislite o segmentaciji mrežne infrastrukture kao dodatnoj zaštiti

Tehnički detalji

Ranjivost CVE-2026-20182 je autentifikacijski bypass koji omogućava napadačima da se predstave kao pouzdan mrežni ruter. Zahteva CVSS skor od 10 i ne zahteva postojeće kredencijale ili prethodnu analizu okruženja. Ranjivost pogađa sve vrste implementacija i omogućava kompromitovanje celog SD-WAN fabrika. Ista napadačka grupa koristi i druge ranjivosti kao CVE-2026-20127, CVE-2026-20122, CVE-2026-20128 i CVE-2026-20133. Cisco je objavio da je eksploatacija u toku od najmanje tri godine pre nego što je otkrivena.

Preporuka Sajber Radara

Primena zakrpi je neophodna bez odlaganja jer ranjivost nema preduslov za napadu i kontroler je kritična tačka celog SD-WAN sistema. Organizacije trebaju da pretpostave da su već mogle biti meta napada i da provere logove prije primene zakrpe.