文章总结： 思科警告CatalystSD-WAN存在严重认证绕过漏洞CVE-2026-20127，该漏洞CVSS评分10.0，自2023年起已被积极用于零日攻击。攻击者可利用此漏洞添加恶意对等体并控制网络架构，甚至结合旧漏洞获取root权限。思科已发布更新，CISA与NCSC发布紧急指令与加固指南。建议立即更新软件，审查日志排查恶意对等连接与异常SSH密钥，隔离管理接口，若root账户失陷需重新部署系统。 综合评分： 93 文章分类： 漏洞预警,漏洞分析,应急响应,网络安全,安全建设

自 2023 年起，思科 SD-WAN 的一个严重漏洞已被用于零日攻击。

Rhinoer Rhinoer

犀牛安全

2026年3月8日 00:00 湖南

思科发出警告，思科 Catalyst SD-WAN 中存在一个严重的身份验证绕过漏洞（编号为 CVE-2026-20127），该漏洞已被积极用于零日攻击，远程攻击者可以利用该漏洞入侵控制器，并将恶意流氓对等体添加到目标网络中。

CVE-2026-20127 的最高严重级别为 10.0，会影响本地部署和 SD-WAN 云部署中的 Cisco Catalyst SD-WAN Controller（以前称为 vSmart）和 Cisco Catalyst SD-WAN Manager（以前称为 vManage）。

思科公司感谢澳大利亚信号局下属的澳大利亚网络安全中心（ASD 的 ACSC）报告了这一漏洞。

思科在今天发布的一份公告中表示，该问题源于对等身份验证机制“无法正常工作”。

Cisco CVE-2026-20127 安全公告指出：“此漏洞的存在是因为受影响系统中的对等身份验证机制未能正常工作。攻击者可以通过向受影响系统发送精心构造的请求来利用此漏洞。”

成功利用该漏洞后，攻击者可以以内部高权限非root用户帐户登录到受影响的思科Catalyst SD-WAN控制器。利用该帐户，攻击者可以访问NETCONF，进而操纵SD-WAN网络架构的网络配置。

Cisco Catalyst SD-WAN 是一个基于软件的网络平台，它通过集中管理系统连接分支机构、数据中心和云环境。它使用控制器通过加密连接安全地路由站点之间的流量。

通过添加一个恶意对等节点，攻击者可以将一个看似合法的恶意设备植入SD-WAN环境中。该设备随后可以建立加密连接，并广播攻击者控制的网络，从而使攻击者能够更深入地渗透到组织网络中。

Cisco Talos的另一份公告称，该漏洞已被积极用于攻击，并正在追踪名为“UAT-8616”的恶意活动，该公司高度确信该活动是由高度复杂的威胁行为者实施的。

Talos 报告称，其遥测数据显示，该漏洞的利用至少可以追溯到 2023 年。情报合作伙伴表示，攻击者很可能通过降级到较旧的软件版本，利用  CVE-2022-20775漏洞获得 root 权限，然后恢复到原始固件版本，从而升级到 root 权限。

攻击者利用漏洞后，可以通过恢复到原始版本来获得 root 权限，同时逃避检测。

思科与美国和英国当局联合发布的公告披露了这一漏洞利用情况。

2026 年 2 月 25 日，CISA 发布了紧急指令 26-03，要求联邦民事行政部门机构清点 Cisco SD-WAN 系统，收集取证证据，确保外部日志存储，应用更新，并调查与 CVE-2026-20127 和 CVE-2022-20775 相关的潜在安全漏洞。

CISA 表示，该漏洞利用对联邦网络构成迫在眉睫的威胁，相关设备必须在 2026 年 2 月 27 日美国东部时间下午 5:00 之前进行修补。

美国网络安全和基础设施安全局(CISA)和英国国家网络安全中心联合发布的一份搜寻和加固指南警告称，恶意行为者正以全球范围内的 Cisco Catalyst SD-WAN 部署为目标，添加恶意对等节点，然后采取后续行动以获得根访问权限并保持持久控制。

这些建议强调，SD-WAN 管理接口绝不能暴露在互联网上，并敦促各组织立即更新和加固受影响的系统。

NCSC 首席技术官 Ollie Whitehouse 在一份与 BleepingComputer 分享的声明中表示：“我们的新警报明确指出，使用 Cisco Catalyst SD-WAN 产品的组织应紧急调查其网络遭受入侵的风险，并搜寻恶意活动，利用我们与国际合作伙伴共同制定的新威胁搜寻建议来识别入侵证据。”

强烈建议英国各组织向国家网络安全中心 (NCSC) 报告安全漏洞，并尽快应用供应商更新和加固指南，以降低被利用的风险。

思科已发布软件更新来解决该漏洞，并表示目前没有办法完全缓解该问题。

应对措施

Cisco 和 Talos 敦促各组织仔细审查任何暴露于互联网的 Catalyst SD-WAN 控制器系统的日志，以查找未经授权的对等连接事件和可疑的身份验证活动的迹象。

公司建议管理员审核/var/log/auth.log文件中是否存在来自未知 IP 地址的显示“已接受 vmanage-admin 公钥”的条目：

2026-02-10T22:51:36+00:00 vm  sshd[804]: Accepted publickey for vmanage-admin from  port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]

管理员应将这些 IP 地址与 SD-WAN 管理器界面中列出的已配置系统 IP 地址以及已知的管理或控制器基础架构进行比较。如果未知 IP 地址成功通过身份验证，管理员应认为其设备已被入侵，并向 Cisco TAC 提交支持请求。

Talos 和政府咨询机构分享了其他入侵指标，包括恶意用户帐户的创建和删除、意外的 root 登录、vmanage-admin 或 root 帐户中未经授权的 SSH 密钥，以及启用 PermitRootLogin 的更改。

管理员还应检查日志文件是否异常小或缺失，这可能表明日志被篡改；以及软件降级和重启，这可能表明有人利用 CVE-2022-20775 漏洞获取 root 权限。

为检查 CVE-2022-20775 是否被利用，CISA 建议分析以下日志：

/var/volatile/log/vdebug/var/log/tmplog/vdebug/var/volatile/log/sw_script_synccdb.log

CISA 的搜寻和加固指南指示各组织收集取证工件，包括管理员核心转储和用户主目录，并确保将日志存储在外部以防止篡改。

如果 root 账户被盗用，机构应该部署全新安装，而不是尝试清理现有基础架构。

组织还应将意外的对等互联事件或无法解释的控制者活动视为潜在的安全漏洞迹象，并立即展开调查。

CISA 和英国 NCSC 都建议限制网络暴露，将 SD-WAN 控制组件置于防火墙后，隔离管理接口，将日志转发到外部系统，并应用思科的加固指南。

Cisco 强烈建议升级到已修复的软件版本，因为这是彻底修复 CVE-2026-20127 的唯一方法。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《自 2023 年起，思科 SD-WAN 的一个严重漏洞已被用于零日攻击。》