思科Catalyst SD-WAN遭遇大规模网络攻击浪潮

英国国家网络安全中心（NCSC）及其五眼联盟合作机构近期发出紧急警告，要求思科Catalyst软件定义广域网（SD-WAN）用户立即采取行动，因为已发现针对这一广泛使用产品的攻击活动集群。

这些攻击活动似乎具有无差别特征，但攻击手法基本相同——威胁行为者在入侵成功后会添加恶意对等节点，随后执行后续行动以获得root访问权限，并在受害者网络中维持持续访问。

NCSC首席技术官奥利·怀特豪斯表示："我们发布的新警报明确指出，使用思科Catalyst SD-WAN产品的组织应紧急调查其网络被入侵的风险，并搜寻恶意活动迹象，利用与国际合作伙伴共同制定的新威胁搜寻建议来识别入侵证据。"

他补充道："强烈建议英国组织向NCSC报告入侵事件，并尽快应用供应商更新和安全加固指南，以降低被利用的风险。"

NCSC表示，这些攻击活动似乎可以追溯到2023年，思科现已修补了Catalyst SD-WAN管理器和控制器中的一系列漏洞。

这些问题中最主要且最受思科关注的是CVE-2026-20127，这是Catalyst SD-WAN中的身份验证绕过漏洞。

在安全公告中，思科表示该漏洞是由于受影响系统上对等身份验证机制的故障造成的。

思科说："攻击者可以通过向受影响系统发送精心制作的请求来利用此漏洞。成功的攻击可能使攻击者以内部高权限非root用户账户登录受影响的思科Catalyst SD-WAN控制器。利用此账户，攻击者可以访问NETCONF，这将允许攻击者操纵SD-WAN架构的网络配置。"

"思科已发布解决此漏洞的软件更新。没有解决此漏洞的变通方法。"

将管理界面暴露于公共互联网的组织似乎面临最大的入侵风险——将管理界面暴露于互联网是极其不明智的做法。

除了按照新发布的搜寻指南执行威胁搜寻以寻找入侵证据外，安全团队还应立即更新到Catalyst SD-WAN管理器和控制器的适当修复最新版本，并应用思科提供的思科Catalyst SD-WAN加固指南。

建议发现可能被入侵的英国组织立即从相关设备收集证据，并向NCSC报告。

在美国，网络安全和基础设施安全局（CISA）已发布并行紧急指令，指示政府组织在2月26日周四东部时间23:59（格林威治时间04:59）前采取行动，并在周五17:00前完全应用补丁。

威胁行为者瞄准关键国家基础设施运营商

与此同时，思科威胁情报部门Talos一直在追踪CVE-2026-20127的活跃利用，并将这一攻击集群指定为UAT-8616。

Talos表示，考虑到其历史活动可追溯到2023年的广泛程度，以及额外调查发现其黑客可能通过降级软件版本然后利用Catalyst软件命令行界面中的另一个漏洞CVE-2022-20775来升级到root用户，之后再恢复到原始版本，因此确信UAT-8616是一个"高度复杂的网络威胁行为者"。

Talos表示，UAT-8616展现了一种持续趋势，即瞄准网络边缘设备，以便在高价值组织（如关键国家基础设施运营商）中建立滩头阵地。

虽然没有直接归因这些活动，但对公用事业和类似组织的瞄准可能表明UAT-8616得到了民族国家的支持。

Q&A

Q1：CVE-2026-20127漏洞具体有什么危害？

A：CVE-2026-20127是思科Catalyst SD-WAN中的身份验证绕过漏洞。攻击者可以通过发送精心制作的请求，以高权限用户身份登录SD-WAN控制器，进而访问NETCONF并操纵整个SD-WAN架构的网络配置，获得对企业网络的控制权。

Q2：哪些组织最容易成为这次攻击的目标？

A：将管理界面暴露于公共互联网的组织面临最大风险。威胁行为者UAT-8616特别瞄准高价值组织，如关键国家基础设施（CNI）运营商、公用事业公司等，通过攻击网络边缘设备来建立攻击据点。

Q3：企业应该如何防护这次攻击？

A：企业应立即更新到思科Catalyst SD-WAN管理器和控制器的最新修复版本，应用思科的安全加固指南，避免将管理界面暴露于互联网，并按照威胁搜寻指南检查网络中是否存在入侵证据。如发现入侵迹象应立即报告相关安全机构。