کمیته رکن چهارم – یک آسیبپذیری بحرانی با امتیاز حداکثری CVSS 10.0 در محصولات Cisco Catalyst SD-WAN (vManage و vSmart سابق) بهطور فعال در حملات واقعی مورد سوءاستفاده قرار گرفته و بررسیها نشان میدهد این بهرهبرداریها به سال ۲۰۲۳ بازمیگردد.
به گزارش کمیته رکن چهارم، این نقص با شناسه CVE-2026-20127 به مهاجم غیرمجاز اجازه میدهد بدون نیاز به احراز هویت و از طریق ارسال یک درخواست دستکاریشده، مکانیزم Peering را دور بزند و دسترسی مدیریتی به کنترلپلین شبکه به دست آورد. مهاجم سپس میتواند از طریق NETCONF پیکربندی SD-WAN را تغییر دهد.
این آسیبپذیری تمام مدلهای استقرار، از جمله نسخههای On-Prem و Hosted Cloud را تحت تأثیر قرار میدهد و در صورت قرار داشتن کنترلر در معرض اینترنت، خطر بهرهبرداری مستقیم وجود دارد.
بر اساس تحقیقات Cisco و ASD-ACSC، گروهی با شناسه UAT-8616 از این Zero-day سوءاستفاده کرده و پس از نفوذ اولیه، با Downgrade نرمافزار و بهرهبرداری از CVE-2022-20775 به سطح دسترسی root ارتقا یافته و ردپاهای خود را پاک کرده است.
CISA این نقص را به فهرست KEV افزوده و نهادهای فدرال را ملزم کرده ظرف ۲۴ ساعت وصله را اعمال کنند. نسخههای اصلاحشده منتشر شده و نسخههای قدیمیتر نیازمند مهاجرت فوری هستند.
کارشناسان هشدار میدهند هدفگیری تجهیزات لبه شبکه (Network Edge) میتواند به نفوذ گسترده در کل زیرساخت سازمان منجر شود و اعمال فوری وصله و محدودسازی دسترسی اینترنتی به کنترلرها ضروری است.
منبع: The Hacker News
