警惕！思科Catalyst SD-WAN曝关键零日漏洞，紧急发布安全补丁

最近，思科发布安全通告，警告其Cisco Catalyst SD-WAN产品中发现了一个关键的身份验证绕过漏洞（CVE-2026-20127），该漏洞已被黑客以零日形式积极利用。攻击者通过该漏洞能够远程攻破SD-WAN控制器，将恶意的假冒对等节点植入目标网络。

漏洞危害极高，CVSS评分达满分10.0，影响范围包括本地及云端部署的Cisco Catalyst SD-WAN Controller（前称vSmart）与SD-WAN Manager（前称vManage）。漏洞归功于澳大利亚网络安全中心的报告。

思科公告指出，漏洞源于对等认证机制存在缺陷。攻击者可通过构造恶意请求，绕过认证，以内部高权限的非root账号登录受影响设备，进而访问NETCONF接口，对SD-WAN网络配置实施控制。通过添加流氓对等端，黑客可伪装设备，以加密连接深入企业网络，甚至控制流量路由。

Cisco Talos威胁情报分析显示，该漏洞至少自2023年以来被利用，有证据表明攻击者可先降级系统版本，借助CVE-2022-20775提权为root，再恢复原始固件，以隐藏恶意行为并维持权限。

配合此次通告，美国CISA已发布紧急指令，要求联邦部门清点SD-WAN资产、强化日志取证、及时升级修复，最晚要在指定时限前完成漏洞修补。CISA和英国NCSC也联合提醒，攻击者正全球范围内大规模利用此漏洞，强烈建议SD-WAN管理接口不得暴露在公网，应立即升级系统和加固安全防护。

入侵判断和事件响应建议：

- 检查SD-WAN控制器系统日志，特别是 /var/log/auth.log，核查“vmanage-admin 公钥被接受”但来源IP异常的记录。

- 对比这些IP与系统配置的管理IP，若发现未知IP登录，视为疑似被攻破，及时响应并联系思科技术支持。

- 关注创建/删除意外用户账号、root或vmanage-admin账户的不明SSH密钥、PermitRootLogin配置变化、日志异常丢失或被篡改、系统异常降级/重启等行为。

- 若怀疑CVE-2022-20775被利用，应分析 /var/volatile/log/vdebug、/var/log/tmplog/vdebug、/var/volatile/log/sw_script_synccdb.log 等日志文件。

- 建议所有日志外部存储，防止被攻击者篡改。若root账号已失控，应实施设备重装，而不是试图清理现有系统。

综合建议：

1. 立即升级至思科发布的修复版本，彻底消除风险。

2. 将SD-WAN管理组件隔离于内网，部署防火墙保护管理接口，限制访问。

3. 加强日志管理，定期审计，及时发现异常活动。

4. 参考思科与权威安全机构最新发布的加固、调查及威胁狩猎流程，持续防护和应急响应。

通过这些措施，能够有效防范利用CVE-2026-20127等高危漏洞的网络入侵事件，保障企业关键网络基础架构安全。

原文链接：https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/