全球網路安全機構週三發布緊急指令，要求聯邦民事行政部門（FCEB）清點其思科Catalyst SD-WAN（軟體定義廣域網路）系統，應用可用補丁，並評估是否有安全漏洞。攻擊者正在利用先前未公開的身份驗證繞過漏洞CVE-2026-20127獲取初始存取權限，然後利用CVE-2022-20775提升權限並保持持久性。

在題為「ED 26-03：緩解思科SD-WAN系統中的漏洞」的指令中，CISA表示正在追蹤對聯邦網路構成迫在眉睫風險的活躍漏洞利用。 CVE-2026-20127允許遠端未經驗證的攻擊者取得管理權限，而CVE-2022-20775是一個路徑遍歷漏洞，它允許經過驗證的本地攻擊者以root身分執行任意命令。

此漏洞允許未經身份驗證的攻擊者取得組織 SD-WAN 網路管理平面或控制平面的存取權限和管理權限。攻擊者控制的惡意裝置會偽裝成新的、臨時的合法 SD-WAN 元件。該惡意設備隨後可以在管理平面和控制平面內執行可信任操作，從而實現權限提升和持久化。

該機構評估認為，這種情況對聯邦民間網路構成不可接受的風險，需要立即採取行動。此指令適用於所有配置的 Cisco Catalyst SD-WAN Manager（原名 SD-WAN vManage）以及 Cisco Catalyst SD-WAN Controller（原名 SD-WAN vSmart）。

為了保護控制平面和資料平面，思科建議使用成對金鑰來確保通訊安全。組織應將會話逾時時間配置為盡可能短，以限制濫用已認證的存取。此外，日誌應轉送至遠端系統日誌伺服器，以支援集中式監控、偵測和事件回應。

CISA 的搜尋指南敦促防禦者專注於 Cisco SD-WAN 環境中的軟體篡改、非法連線、憑證濫用和日誌操縱的跡象。

關鍵檢查包括審查日誌，尋找意外的軟體版本降級、未經授權的重啟和應用程式回滾，尤其是在未經批准的變更計劃之外激活了較舊或存在漏洞的鏡像的情況下。建議防禦人員尋找異常的對等連接，包括不尋常的對等類型、未知的系統 IP 位址、可疑的公用 IP 位址或異常的「遠端顏色」值，並驗證所有對等 vEdge 裝置是否合法。

組織還應檢查 SSH 活動，以發現未經授權的金鑰、vmanage-admin 帳戶的異常使用以及任何未經批准的、擁有控制平面資產存取權的帳戶。尤其需要關注 root 帳號的活動，該帳號絕不應以互動方式使用。入侵跡象包括：root 帳號的公鑰已被接受、SSH 配置變更允許 root 使用者登入、異常使用者建立、utmp、wtmp 或 btmp 日誌中出現異常的 root 登入活動以及 root 使用者重複登入失敗。

最後，CISA 特別強調日誌篡改是危險訊號。防禦者應檢查登入日誌或 shell 歷史記錄檔案是否已清除，包括零位元組日誌檔案或與其它惡意活動相符的可疑 bash 歷史記錄截斷。

資料來源：https://industrialcyber.co/cisa/ed-26-03-orders-federal-agencies-to-secure-cisco-catalyst-sd-wan-systems-amid-active-cyber-exploitation/