Contexte: Cisco Talos signale une exploitation active visant Cisco Catalyst SD‑WAN Controller (ex‑vSmart), détaillant la vulnérabilité CVE-2026-20127, les modes opératoires de l’acteur « UAT‑8616 » et des pistes de détection et de chasse.

• Vulnérabilité et impact. Une faille d’authentification (CVE-2026-20127) permet à un attaquant distant non authentifié de contourner l’authentification et d’obtenir des privilèges administratifs sur le contrôleur, comme compte interne à hauts privilèges (non‑root). Talos observe une exploitation active et remonte des traces d’activité depuis au moins 2023. L’acteur, UAT‑8616 (évalué hautement sophistiqué), a ensuite escaladé vers root via un downgrade logiciel, a exploité CVE-2022-20775, puis a restauré la version d’origine, obtenant l’accès root. Cette campagne s’inscrit dans la cible récurrente des équipements de bordure réseau des organisations à forte valeur, y compris les infrastructures critiques.

• Détection initiale (peering SD‑WAN) 🔎. L’indicateur critique est tout événement de peering de connexion de contrôle dans les logs Cisco Catalyst SD‑WAN, notamment les peering de type vManage. Les connexions non autorisées peuvent sembler normales mais survenir à des heures inhabituelles, depuis des IP non reconnues ou avec des types d’équipement inattendus. Exemple de log: control-connection-state-change new-state:up peer-type:vmanage peer-system-ip:1.1.1.10 public-ip:192.168.3.20 ... (à valider manuellement). Checklist de validation:

  • Vérifier les horodatages vs. fenêtres de maintenance et changements planifiés.
  • Confirmer l’IP publique vs. inventaire et plages autorisées.
  • Valider le peer system IP vs. la topologie documentée.
  • Contrôler le type de pair (vmanage, vsmart, vedge, vbond) attendu.
  • Corréler les événements répétés depuis une même source.
  • Croiser avec logs d’authentification, gestion de changement et activité utilisateur.

• IOCs et TTPs observables 🧭. Indicateurs et comportements à forte fidélité dans les environnements SD‑WAN compromis:

  • Comptes utilisateurs malveillants (création/usage/suppression), historiques absents: bash_history, cli-history.
  • Sessions root interactives non expliquées; clés SSH et known_hosts inattendus; exemple de notification: system-login-change ... user-name:"root".
  • Clés SSH dans /home/root/.ssh/authorized_keys avec PermitRootLogin yes dans /etc/ssh/sshd_config.
  • Clés SSH non autorisées pour vmanage-admin: /home/vmanage-admin/.ssh/authorized_keys/.
  • Journaux anormalement petits ou absents; effacement/troncature de syslog, wtmp, lastlog, cli-history, bash_history (p. ex. sous /var/log/).
  • Pairs ajoutés/supprimés sans justification.
  • Downgrade/upgrade inattendus avec redémarrage; exemples: « Waiting for upgrade confirmation… will revert… » puis « Software upgrade not confirmed. Reverting… ».
  • Preuve d’exploitation de CVE-2022-20775 via des chaînes de traversal dans le nom d’utilisateur (ex.: /../../ ou /\n&../\n&../).

• Couverture et ressources 🛡️. Talos publie des règles Snort: 65938, 65958. L’équipe renvoie vers les avis de sécurité Cisco, le guide de durcissement Cisco Catalyst SD‑WAN et un guide de threat hunting partenaire, et indique la possibilité d’ouvrir un TAC pour support. Il s’agit d’une analyse de menace visant à documenter une exploitation active, fournir des artefacts de détection et orienter les vérifications sur les contrôleurs SD‑WAN.

🧠 TTPs et IOCs détectés

TTP

Exploitation de vulnérabilité (CVE-2026-20127, CVE-2022-20775), contournement de l’authentification, élévation de privilèges, downgrade/upgrade logiciel, manipulation de logs, ajout/suppression de pairs sans justification, utilisation de comptes utilisateurs malveillants, sessions root interactives non expliquées, utilisation de clés SSH non autorisées, effacement/troncature de journaux.

IOC

IP non reconnues (ex: 1.1.1.10, 192.168.3.20), comptes utilisateurs malveillants, absence de bash_history et cli-history, clés SSH inattendues dans /home/root/.ssh/authorized_keys et /home/vmanage-admin/.ssh/authorized_keys/, journaux anormalement petits ou absents, preuves d’exploitation de CVE-2022-20775 via des chaînes de traversal dans le nom d’utilisateur.

🔗 Source originale : https://blog.talosintelligence.com/uat-8616-sd-wan/