Cisco Catalyst SD-WAN CVE-2026-20127: authentication bypass CVSS 10.0 con sfruttamento attivo e PoC pubblico

La CVE-2026-20127 (CVSS 10.0) è una vulnerabilità di tipo Authentication Bypass nel meccanismo di peering authentication del piano di controllo di Cisco Catalyst SD-WAN Controller (ex vSmart) e Cisco Catalyst SD-WAN Manager (ex vManage). La radice tecnica risiede in un'implementazione non corretta del processo di verifica del peering: inviando richieste di rete opportunamente predisposte, un attaccante remoto completamente non autenticato può aggirare integralmente i controlli di sicurezza e ottenere l'accesso come account interno ad alto privilegio, con piena disponibilità dell'interfaccia NETCONF. Tramite NETCONF, l'attaccante può modificare la configurazione dell'intero fabric SD-WAN, con impatto potenzialmente su tutta la rete aziendale sottostante.

Lo sfruttamento attivo è stato confermato al momento della pubblicazione dell'alert originale (febbraio 2026) per CVE-2026-20127. L'aggiornamento del 21 aprile 2026 dell'alert CSIRT Italia documenta il rilevamento di exploitation anche per le CVE correlate CVE-2026-20128 e CVE-2026-20133. Tenable ha attribuito la prima ondata di exploitation al gruppo UAT-8616. Arctic Wolf sottolinea l'assenza di workaround praticabili: l'unica misura risolutiva è l'applicazione della patch, poiché non esiste una configurazione alternativa in grado di neutralizzare la vulnerabilità nel meccanismo di peering.

Prodotti affetti: Cisco Catalyst SD-WAN Controller, Cisco Catalyst SD-WAN Manager, Nexus 9000, Nexus 3600, Nexus 9500-R, NX-OS.
Azione raccomandata: applicare immediatamente gli aggiornamenti di sicurezza indicati nel bollettino Cisco; in assenza di patch immediata, limitare l'accesso alle interfacce di gestione SD-WAN ai soli host amministrativi autorizzati e monitorare il traffico NETCONF per accessi anomali.

Fonti: ACN, Tenable, Artic Wolf