文章总结： CiscoTalos披露CiscoCatalystSD-WAN控制器存在零日漏洞CVE-2026-20127，允许未授权攻击者绕过认证获取管理权限。该漏洞正被高级威胁组织UAT-8616积极利用，攻击活动可追溯至2023年。攻击者可能通过软件版本降级结合CVE-2022-20775漏洞获取root权限。建议客户检查日志中的异常对等连接事件、恶意用户账户、SSH密钥及系统版本异常变更，并遵循安全公告指导加强防护。 综合评分： 85 文章分类： 漏洞预警,威胁情报,网络安全,漏洞分析,应急响应

UAT-8616 对 Cisco Catalyst SD-WAN 的主动利用

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月26日 10:02 北京

Cisco Talos 正在追踪CVE-2026-20127 漏洞的活跃利用情况。该漏洞存在于 Cisco Catalyst SD-WAN 控制器（原 vSmart）中，允许未经身份验证的远程攻击者通过向受影响系统发送精心构造的请求来绕过身份验证，并获取受影响系统的管理权限。成功利用该漏洞后，攻击者可能以内部高权限非 root 用户账户的身份获得控制器的管理权限。

Talos 将此漏洞利用及后续入侵后活动归类为“UAT-8616”，我们高度确信该攻击者是一位技术高超的网络威胁行为者。在发现该零日漏洞已被积极利用后，我们找到了证据表明，恶意活动至少可以追溯到三年前（2023 年）。情报合作伙伴的调查显示，攻击者很可能是通过软件版本降级来获取 root 权限的。据报道，攻击者随后利用了CVE-2022-20775 漏洞，之后又恢复到原始软件版本，从而有效地获得了 root 权限。

UAT-8616 的攻击尝试表明，网络威胁行为者持续以网络边缘设备为目标，试图在包括关键基础设施 (CI) 部门在内的高价值组织中建立持久的立足点。

强烈建议客户遵循下文所述安全公告中的指导。有关思科产品的其他建议，请点击此处查看。客户还可以通过发起TAC 请求获得支持。Talos 强烈建议使用 Cisco Catalyst SD-WAN 技术的客户和合作伙伴遵循本公告中概述的步骤，以帮助保护其环境。

初步对等事件分析

首先也是最关键的检查点是Cisco Catalyst SD-WAN日志中识别出的任何控制连接对等事件，因为这可能表明攻击者试图通过CVE-2026-20127漏洞进行初始访问。所有此类对等事件都需要人工验证以确认其合法性，尤其需要关注vManage对等类型。攻击Cisco Catalyst SD-WAN基础设施的攻击者通常会建立未经授权的对等连接，这些连接表面上看起来正常，但实际发生的时间可能出乎意料，可能来自无法识别的IP地址，或者涉及与环境架构不符的设备类型。因此，必须进行全面的审查，以区分合法的网络操作和潜在的入侵迹象。

验证清单项目包括

• 将每次对等连接事件的时间戳与已知维护窗口、计划配置更改以及环境的正常运行时间进行核对。
• 通过与资产清单和授权 IP 地址范围进行交叉核对，确认公共 IP 地址与贵组织或授权合作伙伴拥有或运营的基础设施相符。
• 验证对等系统 IP 是否与 Cisco Catalyst SD-WAN 拓扑中记录的设备分配相符。
• 检查对等类型（vmanage、vsmart、vedge、vbond），确保其与部署中预期的设备角色一致。
• 关联来自同一源 IP 或系统 IP 的多个事件，以识别侦察或持续访问尝试的模式。
• 将事件时间与身份验证日志、变更管理记录和用户活动进行交叉比对，以确定连接是否由授权人员发起。

日志示例条目

2月20日 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanage peer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005

日志分析

在已识别的示例中，应验证对等系统 IP 是否与正在使用的预期 IP 地址方案相匹配，应验证时间戳是否与可能导致对等事件发生的任何事件相匹配，并应验证公共 IP 是否为对等事件的预期来源。

补充调查指导

在 SD-WAN 基础设施设置中，以下指标可能是 UAT-8616 成功入侵的可靠标志：

• 创建、使用和删除恶意用户帐户，包括原本不存在的 bash_history 和 cli-history。

• 生产系统上的交互式 root 会话，包括未记录的 SSH 密钥、已知主机和 bash 历史记录。例如：

• 通知：系统登录更改 严重级别：次要 主机名：“<节点名称>” 系统 IP： 用户名：“root”

• SSH 密钥位于：/home/root/.ssh/authorized_keys，并且 /etc/ssh/sshd_config 中的“PermitRootLogin”设置为“yes”。

• 已知主机位于：/home/root/.ssh/known_hosts

• “vmanage-admin”帐户存在未经授权或未记录的 SSH 密钥（“authorized_keys”）：/home/vmanage-admin/.ssh/authorized_keys/

• 异常小的日志，包括缺失或大小为 0/1/2 字节的日志。

• 日志和历史记录被清除或截断的证据包括：

• 系统日志

• wtmp

• 最后日志

• cli-history

• bash_history

• 日志文件位于 /var/log/

• 存在没有 bash 历史记录的用户的 cli-history 文件。

• 有迹象表明，环境中出现了无法解释的同伴减少或增加的情况。

• 系统意外且未经授权的版本降级和升级，并伴随系统重启。例如（日志条目）：

• 正在等待用户确认升级。如果用户未确认，设备将在 100 秒后恢复到之前的软件版本 。

• 软件升级未确认。正在回滚到之前的软件版本。

• 利用 CVE-2022-20775 的证据，例如特制的用户名路径遍历字符串（例如“/../../”或“/\n&../\n&../”）。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《UAT-8616 对 Cisco Catalyst SD-WAN 的主动利用》