Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
CVE-2026-20182 su Cisco SD-WAN: bypass CVSS 10 già sfruttato, admin remoto senza credenziali
La CISA ha inserito nel catalogo Known Exploited Vulnerabilities la vulnerabilità CVE-2026-20182 che colpisce Cisco Catalyst SD-WAN Controller e che risulta già sfruttata attivamente. Si tratta di un difetto di authentication bypass con punteggio CVSS 10.0, quindi di massima gravità, perché permette a un attaccante remoto non autenticato di aggirare i controlli di accesso e ottenere privilegi amministrativi sul sistema compromesso.
Per le agenzie federali FCEB è stato fissato un termine di remediation molto ravvicinato, segnale tipico di un rischio concreto e immediato per infrastrutture esposte.
Secondo le informazioni tecniche disponibili, lo sfruttamento della CVE-2026-20182 è stato attribuito con alta confidenza a un cluster di minaccia identificato come UAT-8616, lo stesso associato alla precedente weaponization di un’altra falla SD-WAN. Dopo l’accesso iniziale, gli attori malevoli avrebbero eseguito azioni post-compromise ricorrenti come l’aggiunta di chiavi SSH per mantenere persistenza, la modifica delle configurazioni NETCONF e tentativi di escalation fino ai privilegi di root. Queste tecniche sono coerenti con attacchi mirati al controllo completo dei dispositivi di rete, spesso per intercettare traffico, muoversi lateralmente o predisporre ulteriori compromissioni.
Un elemento rilevante riguarda l’infrastruttura di attacco, che mostrerebbe sovrapposizioni con reti ORB, ossia sistemi intermedi usati come relay operativi per mascherare origine e catena di comando. Inoltre, sono stati osservati più cluster che, a partire da marzo 2026, hanno sfruttato anche altre vulnerabilità della stessa famiglia. In alcuni scenari, tre falle possono essere concatenate per consentire accesso non autorizzato da remoto senza credenziali, aumentando drasticamente la probabilità di compromissione in ambienti con sistemi non aggiornati.
Le campagne di exploitation fanno leva anche su proof of concept pubblici per installare web shell sui sistemi violati, consentendo l’esecuzione di comandi bash arbitrari. Una web shell in JSP è stata identificata come XenShell, mentre altri gruppi hanno distribuito varianti note come Godzilla e Behinder. Sono stati collegati almeno dieci cluster, con payload che spaziano da framework C2 come Sliver a miner XMRig, fino a strumenti di mappatura asset e backdoor, e persino moduli per furto credenziali e token JWT, inclusi tentativi di recuperare credenziali AWS legate alla gestione vManage.
Cisco raccomanda di applicare le indicazioni operative contenute negli advisory ufficiali per mitigare il rischio, dando priorità ai sistemi esposti e ai componenti SD-WAN critici.