15 Maggio 2026 15:38    Alert

Cisco Catalyst SD-WAN CVE-2026-20182: authentication bypass CVSS 10 sfruttato da UAT-8616 per compromettere l'intera fabric SD-WAN

La CVE-2026-20182 (CVSS 10.0) è una vulnerabilità critica nel meccanismo di autenticazione del peering di Cisco Catalyst SD-WAN Controller e SD-WAN Manager. Un attaccante remoto non autenticato può inviare pacchetti appositamente costruiti al servizio vdaemon sulla porta UDP 12346 (DTLS), impersonare un nodo legittimo durante il control connection handshaking e autenticarsi come account interno ad alto privilegio. Da quella posizione, l'accesso a NETCONF consente la manipolazione della configurazione di rete dell'intera fabric SD-WAN — non solo del singolo dispositivo compromesso.

Cisco Talos attribuisce con alta confidenza lo sfruttamento al gruppo UAT-8616, già responsabile dello sfruttamento di CVE-2026-20127 sulla stessa componente vdaemon. Le azioni post-compromise osservate includono l'aggiunta di chiavi SSH non autorizzate, modifiche alle configurazioni NETCONF e tentativi di escalation a root. L'infrastruttura di UAT-8616 si sovrappone a reti di Operational Relay Box (ORB) già monitorate da Talos. Parallelamente, Talos documenta un'attività distinta di più cluster di attori che — dal marzo 2026 in poi — sfruttano CVE-2026-20133, CVE-2026-20128 e CVE-2026-20122 per distribuire webshell su sistemi non aggiornati alla patch di febbraio.

La CVE è stata scoperta da Rapid7 durante l'analisi di CVE-2026-20127 e inserita nel catalogo KEV dalla CISA il 14 maggio 2026 con scadenza di remediation per le agenzie federali al 17 maggio — una finestra di soli tre giorni, indicativa dell'urgenza. Non esistono workaround: l'unica mitigazione è l'aggiornamento del software.

Versioni affette: Cisco Catalyst SD-WAN Controller e Manager; tutte le modalità di deployment (On-Prem, Cloud-Pro, FedRAMP). Cisco SD-WAN Cloud (Cisco Managed) già patchato da Cisco.
Azione raccomandata: aggiornare immediatamente al fix disponibile per il proprio branch (cfr. tabella su Halo Security); raccogliere prima i dati forensi con request admin-tech; verificare /var/log/auth.log per connessioni di peering da IP non autorizzati.

Fonti: ACN, Talos, Rapid7