14 maja 2026 Cisco opublikowało biuletyn awaryjny dotyczący kolejnej krytycznej luki w produktach Catalyst SD-WAN. Podatność, oznaczona jako CVE-2026-20182 i wyceniona na maksymalne 10.0 punktów w skali CVSS, pozwala atakującemu obejść uwierzytelnianie i uzyskać dostęp administracyjny do kontrolera SD-WAN bez znajomości żadnego hasła. To już szósty zero-day w produktach SD-WAN Cisco, który został wykorzystany w atakach w 2026 roku. Cisco Talos potwierdziło, że za atakami stoi sofistykowana grupa oznaczana jako UAT-8616, a CISA wciągnęła lukę do katalogu KEV i wydała Emergency Directive 26-03, dając agencjom federalnym tylko trzy dni na zastosowanie poprawki.
Na czym polega luka
CVE-2026-20182 to błąd w mechanizmie uwierzytelniania peeringu między komponentami SD-WAN. W praktyce wygląda to tak, że atakujący wysyła do kontrolera lub menedżera SD-WAN specjalnie spreparowane zapytania, które serwer interpretuje jako pochodzące z zaufanego węzła sąsiedniego. Bez podawania jakichkolwiek poświadczeń napastnik otrzymuje dostęp do uprzywilejowanego, choć nie-rootowego konta wewnętrznego, które natychmiast otwiera mu interfejs NETCONF.
NETCONF to standardowy protokół zarządzania konfiguracją urządzeń sieciowych — innymi słowy, atakujący od tego momentu może dowolnie modyfikować topologię całej sieci SD-WAN. W obserwowanych przez Cisco Talos kampaniach UAT-8616 wykorzystywała dodatkowo starszą lukę CVE-2022-20775 i technikę celowego downgrade’u oprogramowania do podatnej wersji, żeby z konta wewnętrznego eskalować uprawnienia do roota. Po pełnym przejęciu kontrolera operatorzy wstrzykiwali własne klucze SSH, tworzyli ukryte konta administracyjne i — co szczególnie niepokojące — bardzo dokładnie sprzątali po sobie logi, żeby utrudnić analizę powłamaniową.
Kogo dotyczy problem
Podatne są kontroler Cisco Catalyst SD-WAN Controller oraz Cisco Catalyst SD-WAN Manager (dawniej znane jako vManage i vSmart). To produkty używane przez średnie i duże firmy do zarządzania rozproszoną siecią oddziałów, łączenia centrali z lokalizacjami zdalnymi i optymalizacji ruchu między łączami WAN. W polskim środowisku spotyka się je w bankach, sieciach handlowych z setkami sklepów, ubezpieczycielach oraz w infrastrukturze sektora publicznego.
Cisco udostępniło już łatki dla wszystkich wspieranych wersji, ale problemem jest fakt, że UAT-8616 atakuje aktywnie od co najmniej 2023 roku — Talos wskazuje, że grupa wykorzystywała wcześniej inne luki w tej samej rodzinie produktów. Oznacza to, że część kontrolerów mogła zostać przejęta jeszcze przed wykryciem obecnej podatności, a sama aktualizacja nie usunie już zaszczepionych backdoorów.
Co dokładnie robi atakujący po włamaniu
Talos opisał czteroetapowy schemat działania UAT-8616. Pierwszy etap to wstrzyknięcie własnego klucza publicznego SSH w pliku authorized_keys konta administracyjnego, co daje atakującemu trwały dostęp niezależny od wykorzystywanej luki. Drugi etap to modyfikacja konfiguracji przez NETCONF — często chodzi o stworzenie nowych reguł tunelowania ruchu, które pozwalają na cichą eksfiltrację danych z sieci wewnętrznej. Trzeci etap to założenie ukrytych kont z uprawnieniami administracyjnymi, ale nazwami imitującymi konta serwisowe Cisco. Czwarty etap to czyszczenie logów audytowych, ze szczególnym naciskiem na zdarzenia uwierzytelnienia i zmiany konfiguracji.
Z punktu widzenia administratora sieci taki atak jest niezwykle trudny do wykrycia bez zewnętrznego monitoringu, ponieważ kontroler SD-WAN sam siebie nie zdradza w logach.
Co zrobić natychmiast
Pierwsza i najważniejsza rzecz to instalacja łatki opublikowanej przez Cisco 14 maja. Numery wersji zawierających poprawkę są dostępne w biuletynie Cisco PSIRT — przed aktualizacją koniecznie zrób snapshot konfiguracji.
Druga warstwa to weryfikacja, czy kontroler nie został już skompromitowany. Sprawdź ręcznie pliki authorized_keys na wszystkich kontach administracyjnych pod kątem nieznanych kluczy publicznych. Przejrzyj listę kont systemowych — zwróć uwagę na świeżo utworzone konta o nazwach przypominających serwisowe. Porównaj aktualną konfigurację z ostatnim potwierdzonym backupem.
Trzecia rzecz to ograniczenie dostępu zarządzającego do kontrolera SD-WAN. Interfejs NETCONF i panel administracyjny nie powinny być nigdy wystawione na publiczny internet — dostęp do nich powinien być możliwy wyłącznie z dedykowanej sieci zarządzania albo przez VPN z silnym MFA. Jeżeli twój kontroler ma jakikolwiek port otwarty na świat, traktuj go jako potencjalnie skompromitowany do czasu pełnego audytu.
Czwarta — zewnętrzny monitoring. Wyślij logi z kontrolera do osobnego systemu SIEM, do którego atakujący nie ma dostępu z poziomu samego urządzenia. Cisco Talos opublikowało wskaźniki kompromitacji (IOC) dla aktywności UAT-8616, warto je zaimportować do reguł detekcji.
Podsumowanie
CVE-2026-20182 to przykład tego, jak krytyczna infrastruktura sieciowa może stać się celem długoterminowych, cierpliwych kampanii państwowych. UAT-8616 nie szuka okupu — szuka stałej obecności w sieciach swoich celów. Jeżeli twoja firma używa Cisco Catalyst SD-WAN, dzisiaj jest dniem na aktualizację i audyt powłamaniowy, a nie na czekanie na sygnał z SOC-a. Łatka jest dostępna, IOC są publiczne, a okno czasowe na wyrzucenie ewentualnego intruza skraca się z każdą godziną.
źródło: https://thehackernews.com/2026/05/cisco-catalyst-sd-wan-controller-auth.html