Cisco SD-WAN атакуют через критическую уязвимость аутентификации

Cisco Talos сообщила о продолжающейся эксплуатации уязвимостей в Cisco Catalyst SD-WAN

Cisco Talos зафиксировала продолжающуюся эксплуатацию нескольких уязвимостей, затрагивающих продукты Cisco Catalyst SD-WAN. Наибольшее внимание исследователей привлекла критическая CVE-2026-20182, которая из-за сбоя в механизме аутентификации позволяет удаленному злоумышленнику без прохождения проверки подлинности получить administrative privileges на затронутых системах.

По данным отчета, активность по использованию этой уязвимости была связана с группой злоумышленников, обозначенной как UAT-8616. Ранее эта же группа уже эксплуатировала связанную уязвимость CVE-2026-20127, применяя схожие post-compromise tactics, включая добавление SSH keys и попытки повышения привилегий.

Несколько уязвимостей — несколько сценариев атаки

Помимо CVE-2026-20182, Cisco Talos отметила эксплуатацию еще трех уязвимостей — CVE-2026-20133, CVE-2026-20128 и CVE-2026-20122. По оценке исследователей, они используются в новых и отличающихся друг от друга шаблонах атак.

Все перечисленные уязвимости были устранены обновлениями Cisco в February 2026. В ряде случаев их можно использовать совместно, чтобы обеспечить удаленный доступ к устройствам.

PoC и рост попыток эксплуатации

После публичного выпуска proof-of-concept (PoC) кода лабораториями ZeroZenX Labs было зафиксировано увеличение числа попыток эксплуатации. Злоумышленники начали активнее использовать web shells, в том числе XenShell, а также варианты, основанные на уже известных cyber tools.

Talos выделила несколько отдельных кластеров вредоносной активности, связанных с этими уязвимостями. Во многих случаях post-compromise activity включала развертывание различных web shells и широкого набора malware.

Инструменты и инфраструктура злоумышленников

В нескольких задокументированных кластерах атакующие использовали множество web shells, некоторые из которых представляли собой модифицированные версии известных frameworks, таких как Behinder и Godzilla.

Кроме того, кластеры задействовали agents из framework AdaptixC2 для установления C2-связи, что указывает на достаточно сложную управляющую инфраструктуру, лежащую в основе этих эксплойтов.

• Sliver — применялся вместе с новыми, специфическими C2-средами;
• XMRig — использовался для майнинга Monero на скомпрометированных устройствах;
• отдельные конфигурации позволяли беспрепятственное peer-to-peer-соединение внутри сети для уклонения от обнаружения и выполнения дополнительных вредоносных задач.

Риски для корпоративных сетей

По мнению исследователей, эти инциденты отражают растущую тенденцию к эксплуатации Cisco SD-WAN infrastructure. Для корпоративных пользователей это особенно тревожный сигнал, учитывая уровень сложности, который продемонстрировали связанные с атаками злоумышленники.

Пользователям настоятельно рекомендуется незамедлительно применять обновления, предоставленные Cisco, чтобы снизить риски, связанные с этими уязвимостями и сопутствующей вредоносной активностью.

Таким образом, ситуация вокруг Cisco Catalyst SD-WAN демонстрирует, что даже после выпуска исправлений атакующие продолжают искать и находить способы эксплуатации уязвимостей, комбинируя несколько инструментов, web shells и C2-инфраструктуру для закрепления в сетях и дальнейшего развития атаки.