文章总结： CiscoCatalystSD-WAN控制器曝出高危0Day漏洞CVE-2026-20127，PoC已公开且自2023年起遭野外利用。攻击者可绕过认证获取管理员权限，执行多阶段攻击包括权限提升、持久化与横向移动。CiscoTalos追踪该威胁为UAT-8616，CISA已将其列入KEV目录。建议立即审计日志、应用补丁并参考SD-WAN威胁狩猎指南排查入侵迹象，严防关键基础设施受损。 综合评分： 87 文章分类： 漏洞预警,漏洞分析,应急响应

Cisco SD-WAN 0Day漏洞已被野外利用，PoC已公开

FreeBuf

2026年3月6日 18:07 上海

#

针对Cisco Catalyst SD-WAN控制器和SD-WAN管理器中的最高危0Day漏洞（CVE-2026-20127），研究人员已公开概念验证（PoC）漏洞利用代码。该漏洞自2023年起就已被攻击者野外利用。

Cisco Talos将该威胁活动追踪为UAT-8616集群，称其为针对全球关键基础设施的”高度复杂网络威胁行为体”。zerozenxlabs在GitHub发布的PoC包含可运行的Python漏洞利用脚本和JSP webshell（cmd.jsp），同时还提供了可部署的WAR文件，降低了其他攻击者利用这一关键漏洞的门槛。

#

Part01

攻击原理分析

该漏洞源于受影响Cisco SD-WAN系统中的对等认证机制存在缺陷。未经身份验证的远程攻击者可向SD-WAN控制器的REST API发送特制HTTP请求，完全绕过登录流程，无需有效凭证即可获取管理员会话。

UAT-8616在入侵后执行了多阶段攻击链：

• 初始访问：利用CVE-2026-20127获取高权限（非root）管理员访问，并向SD-WAN管理/控制平面添加恶意对等设备
• 权限提升：故意降级软件版本重新引入旧漏洞CVE-2022-20775，从而获取完整root权限
• 版本恢复：将系统恢复至原始软件版本以消除降级操作的取证证据
• 持久化：在/home/root/.ssh/authorized_keys中添加未授权SSH密钥，在sshd_config中设置PermitRootLogin yes，并修改SD-WAN启动脚本
• 横向移动：利用NETCONF（端口830）和SSH在SD-WAN设备间横向移动，操纵整个架构配置
• 痕迹清除：清除syslog、bash_history、wtmp、lastlog及/var/log/下的日志

Part02

应对建议

Cisco Talos建议管理员立即审计SD-WAN日志中的控制连接对等事件，检查是否存在未经授权的vManage对等连接、异常源IP和异常时间戳。任何显示添加恶意对等设备、SSH密钥修改或版本降级/升级周期的日志条目都应被视为高可信度的入侵指标。

美国网络安全和基础设施安全局（CISA）已将CVE-2026-20127添加到其已知被利用漏洞（KEV）目录，并要求联邦机构立即修补。使用Cisco Catalyst SD-WAN的组织应立即应用补丁，查看安全公告，并参考澳大利亚网络安全中心发布的《SD-WAN威胁狩猎指南》检查是否已遭入侵。

参考来源：

PoC Exploit Released Cisco SD-WAN 0-Day Vulnerability Exploited in the Wild

PoC Exploit Released Cisco SD-WAN 0-Day Vulnerability Exploited in the Wild

#

#

#

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Cisco SD-WAN 0Day漏洞已被野外利用，PoC已公开》