CVE-2026-20127: Cisco SD-WAN Zero-Day sfruttato dal 2023

Nuovo giorno, nuova vulnerabilità sotto i riflettori. Vediamo ancora una volta quanto rapidamente le falle strumentalizzate nei piattaforme ampiamente distribuite si trasformino in un reale rischio operativo. La copertura dei bug Cisco di massima gravità (CVE-2025-20393, CVE-2026-20045), così come il giorno zero di Dell RecoverPoint CVE-2026-22769, mostra che gli attaccanti stanno sempre più prioritizzando l’infrastruttura che controlla silenziosamente i flussi di traffico, le vie d’identità e la disponibilità dei servizi.

Questa storia continua con CVE-2026-20127, un bypass critico dell’autenticazione che coinvolge Cisco Catalyst SD-WAN Controller (precedentemente vSmart) e Cisco Catalyst SD-WAN Manager (precedentemente vManage). Cisco Talos riferisce che la falla è attivamente sfruttata e traccia l’attività come UAT-8616, valutando con alta fiducia che un attore di minaccia altamente sofisticato l’abbia sfruttata almeno dal 2023.

Il Rapporto 2026 sullo Stato dell’Edge di GreyNoise mostra perché lo sfruttamento confermato nei sistemi di controllo della rete orientati verso l’edge richiede un’azione urgente. Nel secondo semestre del 2025, GreyNoise ha osservato 2,97 miliardi di sessioni malevole da 3,8 milioni di IP sorgente unici che prendono di mira infrastrutture esposte su Internet, sottolineando con quanta rapidità il traffico di sfruttamento si amplifica una volta che gli attaccanti si concentrano su una superficie esposta.

Registrati alla piattaforma AI-Native Detection Intelligence di SOC Prime, supportata dalle tecnologie più avanzate e dall’esperienza di alto livello nella cybersicurezza per affrontare le minacce informatiche e costruire una postura di cybersicurezza resiliente. Clicca su Esplora le Detection per accedere alla collezione completa di contenuti SOC per il rilevamento dello sfruttamento delle vulnerabilità, filtrati dal tag personalizzato “CVE”.

Esplora le Detection

Le detection dal set di regole dedicato possono essere applicate su piattaforme multiple di SIEM, EDR e Data Lake e sono mappate all’ultimo MITRE ATT&CK® framework v18.1. I team di sicurezza possono anche sfruttare Uncoder AI per accelerare l’ingegneria della detection end-to-end generando regole direttamente dai report delle minacce attuali, perfezionando e validando generating rules directly from live threat reports, refining and validating la logica di rilevamento, auto-visualizzando i Flussi di Attacco, convertendo gli IOC in query di caccia personalizzate e traducendo istantaneamente il codice di rilevamento in diversi formati di linguaggio.

Analisi di CVE-2026-20127

Cisco Talos descrive CVE-2026-20127 come un problema che consente a un attaccante remoto non autenticato di bypassare l’autenticazione e ottenere privilegi amministrativi sul sistema interessato inviando richieste modificate. Il consiglio pubblico di Cisco riporta la causa principale a un meccanismo di autenticazione di peering che non funziona correttamente.

Un exploit riuscito può consentire a un attaccante di accedere a un Catalyst SD-WAN Controller come un account interno, di alto privilegio, non-root, quindi utilizzare quell’accesso per arrivare a NETCONF e manipolare la configurazione del tessuto SD-WAN. Quel tipo di accesso al piano di controllo è esattamente ciò che rende così dirompenti gli incidenti SD-WAN, poiché gli attaccanti sono in grado di stabilire come si comporta la rete.

Numerosi avvisi di governo e partner descrivono un percorso comune post-sfruttamento. Dopo aver sfruttato CVE-2026-20127, sono stati osservati attori aggiungere un peer non autorizzato per poi arrivare all’accesso root e alla persistenza a lungo termine negli ambienti SD-WAN. Talos aggiunge che i partner di intelligence hanno osservato un’escalation che coinvolge un downgrade di versione del software, lo sfruttamento di CVE-2022-20775, e quindi il ripristino alla versione originale, una sequenza che può complicare il rilevamento se i team convalidano solo la versione “attuale” in esecuzione.

Poiché lo sfruttamento è confermato e influenza i sistemi utilizzati per gestire la connettività tra siti e cloud, CISA ha emesso la Direttiva d’Emergenza 26-03 per le agenzie civili federali degli Stati Uniti, con un requisito accelerato per completare le azioni richieste entro le 17:00 (ET) del 27 febbraio 2026. Anche FedRAMP ha trasmesso la stessa urgenza ai fornitori di cloud che supportano gli ambienti federali.

Mitigazione di CVE-2026-20127

Secondo il consiglio di Cisco, CVE-2026-20127 colpisce Cisco Catalyst SD-WAN Controller e Cisco Catalyst SD-WAN Manager indipendentemente dalla configurazione del dispositivo, attraverso questi tipi di distribuzione:

• Distribuzione On-Prem
• Cisco Hosted SD-WAN Cloud
• Cisco Hosted SD-WAN Cloud – Gestito da Cisco
• Cisco Hosted SD-WAN Cloud – Ambiente FedRAMP
  
  

Cisco osserva anche che non ci sono soluzioni alternative che affrontano completamente questa vulnerabilità. La soluzione duratura è eseguire l’aggiornamento a una release corretta, con le versioni corrette elencate nel consiglio di Cisco nella sezione Software Corretto .

Gli utenti sono invitati a iniziare dando priorità all’applicazione delle patch come unica completa risoluzione e verificare che le correzioni siano effettivamente presenti su ogni istanza interessata di Catalyst SD-WAN Controller e Manager.

Poi, per ridurre la superficie di attacco mentre gli utenti applicano le patch e convalidano, CISA e il NCSC del Regno Unito sottolineano l’importanza di limitare l’esposizione delle reti, posizionando i componenti di controllo SD-WAN dietro firewall e isolando le interfacce di gestione da reti non fidate. Parallelamente, i registri SD-WAN devono essere inoltrati a sistemi esterni in modo che gli attaccanti non possano facilmente cancellare le prove locali.

Infine, è meglio trattare questo sia come un evento di patching che di indagine. Cisco raccomanda di verificare /var/log/auth.log per voci come “Accepted publickey for vmanage-admin” provenienti da indirizzi IP sconosciuti o non autorizzati, quindi confrontare tali IP sorgente con gli IP di Sistema configurati elencati nell’interfaccia del Manager (WebUI > Dispositivi > IP di Sistema). Se gli utenti sospettano un compromesso, Cisco consiglia di contattare il TAC di Cisco e raccogliere l’output admin-tech (ad esempio, tramite request admin-tech) così che possa essere esaminato.

Poiché l’attività segnalata può includere un downgrade della versione e un comportamento di riavvio inaspettato come parte della catena post-compromesso, le linee guida pubbliche raccomandano anche di controllare i seguenti registri per indicatori di downgrade/riavvio:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log
  
  

Per potenziare la copertura oltre le fasi di patching e mitigazione, fai affidamento sulla Piattaforma SOC Prime per accedere al più grande dataset di intelligence di rilevamento al mondo, adottare una pipeline end-to-end che spazia dal rilevamento alla simulazione, ottimizzando le operazioni di sicurezza e accelerando i flussi di lavoro di risposta, riducendo il sovraccarico ingegneristico e rimanendo al passo con le minacce emergenti.