Governments issue warning over Cisco zero-day attacks dating back to 2023
admin Latest
Governments issue warning over Cisco zero-day attacks dating back to 2023

Los atacantes han estado explotando un par de vulnerabilidades de día cero en el software de red de Cisco durante al menos tres años, y la campaña global está en curso, dijeron las autoridades a través de una serie de advertencias publicadas el miércoles.

La Agencia de Seguridad de Infraestructura y Ciberseguridad emitió un directiva de emergencia sobre los ataques globales y emitidos Orientación conjunta con los Cinco Ojos. para ayudar a los defensores a responder y buscar evidencia de compromiso.

Esto marca la segunda serie de múltiples vulnerabilidades de día cero explotadas activamente en la tecnología de punta de Cisco desde la primavera pasada. Ambas campañas dieron lugar a directivas de emergencia de CISA meses después de que se detectaran los ataques por primera vez, y ambas oleadas de ataques estuvieron en marcha durante al menos un año antes de que fueran identificadas.

Las autoridades se abstuvieron de atribuir los ataques a ningún estado nación o grupo amenazador. Los investigadores de Cisco Talos asignaron los exploits y la actividad posterior al compromiso a UAT-8616, al que sólo describieron como un “actor de amenazas altamente sofisticado”.

El «intento de explotación del grupo de actividades indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibernéticas para establecer puntos de apoyo persistentes en organizaciones de alto valor, incluidos sectores de infraestructura críticos», dijo Cisco Talos en un aviso de amenazas.

La actividad maliciosa vinculada a esta campaña tiene un gran alcance y los atacantes han explotado las vulnerabilidades en sistemas específicos para acceder y potencialmente comprometer las redes federales, dijo Nick Andersen, subdirector ejecutivo de ciberseguridad de CISA, durante una conferencia de prensa el miércoles.

Andersen se negó a decir cuándo CISA tuvo conocimiento de esta actividad por primera vez y no proporcionó detalles sobre las víctimas potenciales, y agregó que los funcionarios están trabajando en las etapas iniciales de mitigación.

En la guía de búsqueda de amenazas publicada conjuntamente, Five Eyes dijo que todos los miembros estaban conscientes de que el día cero más reciente… CVE-2026-20127 – fue identificado y confirmado como explotado activamente a fines de 2025. Los funcionarios y Cisco no explicaron por qué tomó al menos dos meses revelar y parchear la vulnerabilidad, y compartir orientación de mitigación de emergencia.

Los atacantes están obteniendo el control total de un sistema en una cadena al explotar CVE-2026-20127 para evitar la autenticación y luego degradar el software a una versión vulnerable a CVE-2022-20775 para aumentar los privilegios, dijo Douglas McKee, director de inteligencia de vulnerabilidades en Rapid7.

«Ese segundo paso les permite pasar del control administrativo a la raíz del sistema operativo subyacente. Ese paso a la degradación muestra un conocimiento deliberado de las versiones del producto y del historial de parches», dijo a CyberScoop. «Esto no es un escaneo oportunista. Es un arte estructurado».

CISA agregó CVE-2022-20775 y CVE-2026-20127 a su catálogo de vulnerabilidades explotadas conocidas Miércoles.

La brecha de tres años entre los ataques iniciales conocidos y la explotación detectada de los días cero muestra el uso quirúrgico de las vulnerabilidades por parte de los atacantes y la naturaleza altamente dirigida de su campaña, dijo Ben Harris, fundador y director ejecutivo de watchTowr.

La línea de tiempo y la ruta de ataque conocida también indican una disciplina operativa que permitió a los atacantes mantener el acceso a largo plazo en la infraestructura de red crítica sin activar alarmas, dijo McKee. Esas actividades se alinean “más estrechamente con el espionaje patrocinado por el Estado que con delitos con motivación financiera”, añadió.

La directiva de emergencia de CISA requiere que las agencias federales realicen un inventario de todos los sistemas Cisco SD-WAN vulnerables, recopilen registros de esos sistemas, apliquen las actualizaciones de seguridad de Cisco, busquen evidencia de compromiso y sigan La guía de Cisco para el viernes.

La última campaña dirigida a la tecnología de borde de red de Cisco comparte muchas similitudes con otra serie de ataques sobre los que Cisco advirtió en septiembre. Esos ataques, que involucraron al menos dos días cero explotados activamente, estuvieron en marcha durante al menos un año antes de ser descubiertos por primera vez en mayo.

Cisco no respondió preguntas sobre posibles conexiones entre las campañas. El vendedor y los funcionarios también han evitado hasta ahora compartir detalles sobre lo que ocurrió detrás de escena durante estos ataques sostenidos.

Un portavoz de Cisco instó a los clientes a actualizar el software y seguir orientación de su asesor.

Desafortunadamente, es demasiado tarde para que algunos clientes de Cisco SD-WAN apliquen parches, dijo Harris. «El consejo de Cisco de reconstruir completamente y buscar señales previas de intrusión debe tomarse en serio».

Matt Kapko

Escrito por Matt Kapko

Matt Kapko es reportero de CyberScoop. Su ámbito incluye delitos cibernéticos, ransomware, defectos de software y (mala) gestión de vulnerabilidades. El californiano de toda la vida comenzó su carrera periodística en 2001 con paradas anteriores en Cybersecurity Dive, CIO, SDxCentral y RCR Wireless News. Matt tiene una licenciatura en periodismo e historia de la Universidad Estatal de Humboldt.

Cisco SD-WAN Zero-Day CVE-2026-20127 explotado desde 2023 para acceso de administrador – CYBERDEFENSA.MX
admin Noticias
Cisco SD-WAN Zero-Day CVE-2026-20127 explotado desde 2023 para acceso de administrador – CYBERDEFENSA.MX

Una falla de seguridad de máxima gravedad recientemente revelada en Cisco Catalyst SD-WAN Controller (anteriormente vSmart) y Catalyst SD-WAN Manager (anteriormente vManage) ha sido objeto de explotación activa en la naturaleza como parte de una actividad maliciosa que se remonta a 2023.

La vulnerabilidad, rastreada como CVE-2026-20127 (Puntuación CVSS: 10.0), permite a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos en el sistema afectado enviando una solicitud diseñada a un sistema afectado.

La explotación exitosa de la falla podría permitir al adversario obtener privilegios elevados en el sistema como una cuenta de usuario interna, no root y con altos privilegios.

«Esta vulnerabilidad existe porque el mecanismo de autenticación de peering en un sistema afectado no funciona correctamente», Cisco dicho En un aviso, agregar el actor de amenazas podría aprovechar la cuenta de usuario no root para acceder a NETCONF y manipular la configuración de red para la estructura SD-WAN.

La deficiencia afecta a los siguientes tipos de implementación, independientemente de la configuración del dispositivo:

  • Implementación local
  • Nube SD-WAN alojada en Cisco
  • Nube SD-WAN alojada en Cisco: administrada por Cisco
  • Nube SD-WAN alojada en Cisco: entorno FedRAMP

Cisco le dio crédito al Centro Australiano de Seguridad Cibernética (ASD-ACSC) de la Dirección Australiana de Señales por informar sobre la vulnerabilidad. El especialista en equipos de redes está rastreando la explotación y la posterior actividad posterior al compromiso bajo el apodo. UAT-8616describiendo el clúster como un «actor de amenazas cibernéticas altamente sofisticado».

Ciberseguridad

La vulnerabilidad se ha solucionado en las siguientes versiones de Cisco Catalyst SD-WAN:

  • Antes de la versión 20.91: migre a una versión fija.
  • Versión 20.9 – 20.9.8.2 (lanzamiento estimado para el 27 de febrero de 2026)
  • Versión 20.111 – 20.12.6.1
  • Versión 20.12.5 – 20.12.5.3
  • Versión 20.12.6 – 20.12.6.1
  • Versión 20.131 – 20.15.4.2
  • Versión 20.141 – 20.15.4.2
  • Versión 20.15 – 20.15.4.2
  • Versión 20.161 – 20.18.2.1
  • Versión 20.18 – 20.18.2.1

«Los sistemas Cisco Catalyst SD-WAN Controller que están expuestos a Internet y que tienen puertos expuestos a Internet corren el riesgo de verse comprometidos», advirtió Cisco.

La compañía también recomendó a los clientes que auditen el archivo «/var/log/auth.log» en busca de entradas relacionadas con la «Clave pública aceptada para vmanage-admin» de direcciones IP desconocidas o no autorizadas. También se recomienda verificar las direcciones IP en el archivo de registro auth.log con las IP del sistema configuradas que se enumeran en la interfaz de usuario web de Cisco Catalyst SD-WAN Manager (WebUI > Dispositivos > IP del sistema).

Según la información publicada por ASD-ACSC, se dice que UAT-8616 ha comprometido las SD-WAN de Cisco desde 2023 a través del exploit de día cero, lo que le permite obtener un acceso elevado.

«La vulnerabilidad permitió a un actor cibernético malicioso crear un par deshonesto unido al plano de gestión de red, o plano de control, de la SD-WAN de una organización», dijo ASD-ACSC. «El dispositivo fraudulento aparece como un componente SD-WAN nuevo pero temporal, controlado por un actor, que puede realizar acciones confiables dentro del plano de gestión y control».

Después de comprometer con éxito una aplicación pública, se descubrió que los atacantes aprovechan el mecanismo de actualización incorporado para realizar una degradación de la versión del software y escalarla al usuario raíz mediante la explotación. CVE-2022-20775 (Puntuación CVSS: 7,8), un error de escalada de privilegios de alta gravedad en la CLI del software Cisco SD-WAN y luego restaurar el software a la versión que se estaba ejecutando originalmente.

Algunos de los pasos posteriores iniciados por el actor de amenazas son los siguientes:

  • Creé cuentas de usuarios locales que imitaban otras cuentas de usuarios locales.
  • Se agregó una clave autorizada del Protocolo Secure Shell (SSH) para acceso raíz y se modificaron los scripts de inicio relacionados con SD-WAN para personalizar el entorno.
  • Se utilizó el protocolo de configuración de red en el puerto 830 (NETCONF) y SSH para conectarse a/entre dispositivos Cisco SD-WAN dentro del plano de administración.
  • Se tomaron medidas para eliminar la evidencia de la intrusión eliminando los registros en «/var/log», el historial de comandos y el historial de conexiones de red.

«El intento de explotación de UAT-8616 indica una tendencia continua de apuntar a dispositivos de borde de red por parte de actores de amenazas cibernéticas que buscan establecer puntos de apoyo persistentes en organizaciones de alto valor, incluidos los sectores de infraestructura crítica (CI)», dijo Talos.

Ciberseguridad

El desarrollo ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) a agregar tanto CVE-2022-20775 como CVE-2026-20127 a sus vulnerabilidades explotadas conocidas (KEV), ordenando a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones dentro de las próximas 24 horas.

Para comprobar si hay una degradación de la versión y eventos de reinicio inesperados, CISA recomienda analizando los siguientes registros –

  • /var/volatile/log/vdebug
  • /var/log/tmplog/vdebug
  • /var/volatile/log/sw_script_synccdb.log

CISA también ha emitido una nueva directiva de emergencia, 26-03: Mitigar las vulnerabilidades en los sistemas Cisco SD-WANcomo parte del cual las agencias federales deben inventariar los dispositivos SD-WAN, aplicar actualizaciones y evaluar posibles compromisos.

Con ese fin, se ordenó a las agencias que proporcionen un catálogo de todos los sistemas SD-WAN incluidos en sus redes antes del 26 de febrero de 2026 a las 11:59 p. m., hora del Este. Además, deben enviar un inventario detallado de todos los productos incluidos y las acciones tomadas antes del 5 de marzo de 2026 a las 11:59 p. m., hora del Este. Por último, las agencias deberán presentar la lista de todos los pasos tomados para reforzar sus entornos antes del 26 de marzo de 2026 a las 11:59 p. m., hora del Este.