Cisco Catalyst SD-WAN ranjivost (CVE-2026-20127)
Nedavni porast aktivnog iskorištavanja Cisco Catalyst SD-WAN izazvao je zabrinutost među stručnjacima za bezbjednost zbog mogućeg široko rasprostranjenog ugrožavanja mreže. Kompanija Cisco je objavila da se radi o ranjivosti koja bi mogla omogućiti neovlaštenom, udaljenom zlonamjernom akteru da zaobiđe provjeru identiteta i dobije administratorske privilegije na pogođenom sistemu.
Cisco Catalyst SD-WAN ranjivost (CVE-2026-20127); Source: Bing Image Creator
CATALYST SD-WAN RANJIVOST
Platforma Catalyst SD-WAN, kao ključna komponenta savremene mrežne infrastrukture, posljednjih mjeseci je pod intenzivnom pažnjom zbog otkrića i iskorištavanja ranjivosti nultog dana označene kao CVE-2026-20127. Kampanja iskorištavanja, koju sprovodi visoko napredni zlonamjerni akter, traje najmanje od 2023. godine. Sa CVSS ocjenom 10,0, ova ranjivost predstavlja jednu od najozbiljnijih bezbjednosnih prijetnji za organizacije koje koriste Catalyst SD-WAN u svojim mrežnim okruženjima.
Posljedice su dalekosežne i posebno pogađaju mrežne administratore odgovorne za održavanje sistema. Udaljeni zlonamjerni akter, bez podataka za prijavu, može zaobići mehanizme provjere identiteta i steći administratorske privilegije na osnovnim komponentama za primjenu, čime se direktno ugrožava integritet i povjerljivost osjetljivih podataka unutar pogođenih mreža.
Rizik dodatno pojačavaju dva ključna faktora. Prvo, ranjivost ne zahvata periferne uređaje, već komponente visokog nivoa koje upravljaju politikama, rutama i ponašanjem mreže. To znači da, čak i uz snažne bezbjednosne mjere na ivici mreže ili perifernim uređajima, organizacija ostaje izložena napadima usmjerenim na kontrolnu ravan. Drugo, Cisco i timovi za reagovanje na incidente zaključili su da ne postoje alternativna ublažavanja niti “zaobilazna rješenja” koja bi privremeno zaštitila sistem kroz jednostavna podešavanja. Ova činjenica naglašava hitnu potrebu za neposrednim djelovanjem administratora odgovornih za Catalyst SD-WAN sisteme.
Pogođene komponente
Ranjivost CVE-2026-20127 pogađa dvije ključne komponente Cisco softverski definisanog širokopojasnog umrežavanja (eng. Software-Defined Wide Area Networking – SD-WAN): Catalyst SD-WAN kontroler (ranije vSmart) i Catalyst SD-WAN menadžer (ranije vManage). Ove komponente upravljaju topologijom i kontrolom unutar SD-WAN okruženja. Prema tehničkom opisu Nacionalne baze podataka o ranjivostima (eng. National Vulnerability Database – NVD), problem se nalazi u peering mehanizmu provjere identiteta, čija je svrha da obezbijedi bezbjednu komunikaciju između različitih čvorova ili uređaja na mreži.
Peering provjera identiteta funkcioniše kao čuvar kapije za dolazne veze, provjeravajući legitimitet i identitet prije nego što dozvoli uspostavljanje komunikacije. Ranjivost, međutim, omogućava udaljenom i neovlaštenom zlonamjernom akteru da zaobiđe ovaj mehanizam, čime stiče pristup osjetljivim dijelovima SD-WAN infrastrukture.
Takav scenario može dovesti do toga da zlonamjerni akter dobije administratorske privilegije nad cijelom mrežom povezanih uređaja. Time mu se otvara mogućnost izmjene konfiguracija koje utiču na politike, rute, dodavanje ili uklanjanje čvorova i parametre povezivanja. Posljedice mogu biti ozbiljni poremećaji ili čak potpuno ugrožavanje mreže.
Dodatno, istrage su ukazale na to da zlonamjerni akteri mogu iskoristiti okruženja za upravljanje poput NETCONF (koji se obično pokreće na portu 830) kako bi manipulisali infrastrukturom iznutra nakon što je ulazna tačka probijena. Time ranjivost dobija još jedan sloj složenosti, jer zlonamjerni akter ne samo da zaobilazi peering provjeru identiteta, već može da iskoristi i druge kritične komponente SD-WAN arhitekture.
Funkcionisanje
Lanac napada započeo je iskorištavanjem ranjivosti u SD-WAN softveru CVE-2026-20127. Ova ranjivost omogućila je početni ulaz i zaobilaženje bezbjednosnih kontrola, što je otvorilo put ka daljem povećanju privilegija i dubljem upravljanju ugroženim sistemima. Iako detalji same ranjivosti nisu javno dostupni, jasno je da je poslužila kao polazna tačka za nastavak napada.
Zlonamjerni akteri zatim su iskoristili pristup da softver vrate na starije verzije ranjive na CVE-2022-20775. Greška u putanji omogućavala je povećanje privilegija, a iako je ispravljena 2022. godine, njeno prisustvo u zastarjelim izdanjima ostalo je pogodna meta. Namjerno vraćanje na stariju verziju bilo je ključni korak u daljem razvoju napada.
Primijenjena je tehnika “vrati–iskoristi–obnovi”: softver je vraćen na stariju verziju, ranjivost je iskorišćena, a zatim je ponovo instalirana aktuelna verzija. Na taj način zlonamjerni akteri su zadržali najviši nivo pristupa dok je sistem izgledao kao da radi na aktuelnom izdanju. Ova metoda omogućila je da se napad odvija neprimjetno u odnosu na standardne kontrole.
Cijeli proces može se opisati kao niz povezanih koraka: prvo iskorištavanje CVE-2026-20127 za ulaz, zatim vraćanje softvera na stariju verziju, iskorištavanje CVE-2022-20775 za povećanje privilegija, i na kraju obnavljanje originalne verzije radi prikrivanja tragova. Ovaj slijed jasno pokazuje kako je napad bio strukturisan i vođen kroz precizno planirane faze.
UAT-8616
Primarni zlonamjerni akter koji iskorištava CVE-2026-20127 označen je kao UAT-8616 od strane Cisco Talos i Australijskog centra za sajber bezbjednost Australijske direkcije za signale (ASD-ACSC). Ova oznaka ukazuje na visok nivo njihove operativne bezbjednosti i pokazuje da posjeduju napredno znanje o mrežnoj arhitekturi i protokolima.
Sposobnost lančanog povezivanja više ranjivosti predstavlja obilježje ove grupe i prevazilazi samu tehničku stručnost. Ona obuhvata i razumijevanje organizacionog konteksta u kojem se koristi Catalyst SD-WAN platforma. Njihove mete su obično organizacije sa visokovrijednom imovinom, uključujući kritičnu infrastrukturu, vladine agencije i velike korporacije. Ovakav fokus na strateške ciljeve ukazuje na planiranje i koordinaciju koja je u skladu sa državno sponzorisanim ili visoko organizovanim sajber kriminalnim sindikatima.
Operativna bezbjednost koju demonstrira UAT-8616 oslanja se na napredno poznavanje mrežnih sistema i protokola. Njihova sposobnost da povežu različite ranjivosti pokazuje duboko razumijevanje načina na koji sistemi međusobno funkcionišu unutar organizacije, što im omogućava da iskoriste ranjivosti koje bi se inače mogle neutralisati standardnim bezbjednosnim praksama.
Fokus UAT-8616 na ciljeve visoke vrijednosti jasno sugeriše strateški pristup njihovim aktivnostima. Usmjeravanjem na organizacije koje posjeduju kritičnu infrastrukturu ili osjetljive informacije, oni ostvaruju značajne dobitke u pogledu resursa i vrijednih podataka.
Smjernice za ublažavanje
Trenutno kompanija Cisco ne preporučuje nikakve strategije za ublažavanje problema. Organizacije koje koriste pogođene instance Cisco Catalyst SD-WAN kontrolera ili Cisco Catalyst SD-WAN menadžera trebalo bi da daju prioritet nadogradnji na fiksnu verziju, kao što je navedeno u nastavku, kako bi se otklonio problem CVE-2026-20127.
| Cisco Catalyst SD-WAN pogođene verzije | Prva ispravljena verzija |
| Verzije prije od 20.91 | Pređite na ispravljeno izdanje. |
| 20.9 | 20.9.8.2 |
| 20.111 | 20.12.6.1 |
| 20.12 | 20.12.5.3 20.12.6.1 |
| 20.131 | 20.15.4.2 |
| 20.141 | 20.15.4.2 |
| 20.15 | 20.15.4.2 |
| 20.161 | 20.18.2.1 |
| 20.18 | 20.18.2.1 |
1.Ova izdanja su dostigla kraj održavanja softvera. Kompanija Cisco snažno preporučuje korisnicima da nadograde na podržano izdanje.
Za najnovije smjernice, pogledajte zvanične preporuke dobavljača.
UTICAJ
Uticaj ranjivosti CVE-2026-20127 na Catalyst SD-WAN platformu ogleda se u direktnom narušavanju povjerenja u mrežnu infrastrukturu. Sama činjenica da zlonamjerni akter može zaobići provjeru identiteta i steći administratorske privilegije znači da osnovni mehanizmi zaštite gube svoju funkciju. Time se otvara prostor za manipulaciju ključnim komponentama koje upravljaju mrežnim politikama, rutama i ponašanjem sistema, što ima dalekosežne posljedice po stabilnost i sigurnost mreža.
Poseban uticaj proizlazi iz činjenice da ranjivost pogađa kontrolnu ravan, a ne periferne uređaje. To znači da zlonamjerni akter dobija pristup samom jezgru sistema, gdje se donose odluke o usmjeravanju saobraćaja i definisanju pravila. Posljedica je da čak i organizacije koje ulažu značajne resurse u zaštitu na ivici mreže ostaju izložene napadima koji potkopavaju unutrašnju strukturu. Ovakva situacija mijenja percepciju o tome gdje se nalazi stvarna tačka rizika u mrežnoj arhitekturi.
Uticaj se dodatno produbljuje kroz mogućnost lančanog iskorištavanja ranjivosti. Zlonamjerni akteri su pokazali da ranjivost CVE-2026-20127 može poslužiti kao ulazna tačka za vraćanje sistema na starije verzije i iskorištavanje prethodnih ranjivosti. Ovakav pristup omogućava dugotrajan i prikriven napad, pri čemu sistem naizgled radi na aktuelnoj verziji, dok zlonamjerni akter zadržava potpunu kontrolu. Time se ugrožava povjerenje u proces održavanja i nadogradnje softvera.
Uticaj na organizacije koje koriste Catalyst SD-WAN posebno je izražen u kontekstu kritične infrastrukture i državnih institucija. Grupa UAT-8616, koja stoji iza iskorištavanja, pokazuje strateški pristup usmjeren na ciljeve visoke vrijednosti. Njihova sposobnost da povežu više ranjivosti i da ih iskoriste u složenom napadu ukazuje na visok nivo znanja i planiranja. To znači da ranjivost ne predstavlja samo tehnički problem, već i faktor koji utiče na širu bezbjednosnu dinamiku između država, korporacija i kriminalnih mreža.
Uticaj se osjeća i na nivou operativne bezbjednosti. Administratori mreža suočeni su sa situacijom u kojoj standardne mjere zaštite ne pružaju nikakvo privremeno rješenje. Nedostatak zaobilaznih opcija znači da ranjivost ostaje otvorena sve dok se ne primijeni ispravka. Ovakva okolnost stvara pritisak na timove za reagovanje i mijenja način na koji se planira održavanje sistema, jer ranjivost postaje faktor koji diktira hitnost i prioritete u radu.
ZAKLJUČAK
Ranjivost CVE-2026-20127 pokazala je koliko duboko mrežni sistemi mogu biti pogođeni kada osnovni mehanizmi zaštite zakažu. Njena priroda otkriva ranjivosti koje se ne mogu posmatrati izolovano, već kao dio šireg problema u kojem se bezbjednosne greške pretvaraju u ulazne tačke za složene napade. Time se otvara prostor za razmišljanje o tome kako se ranjivosti uklapaju u širi obrazac prijetnji koje prate savremene mrežne tehnologije.
Posebno je značajno što je ova ranjivost iskorišćena u kombinaciji sa starijim ranjivostima, što ukazuje na sposobnost zlonamjernog aktera da povezuju različite ranjivosti u jedinstven lanac. Takav pristup pokazuje da ranjivosti ne djeluju samo pojedinačno, već da mogu biti iskorištene u nizu koraka koji zajedno stvaraju dugotrajan i prikriven napad. Ova dinamika mijenja način na koji se posmatraju ranjivosti, jer one postaju dio šire strategije, a ne samo tehnički propust.
Grupa UAT-8616 svojim djelovanjem pokazuje da tehnička znanja nisu jedini faktor u ovakvim napadima. Njihova sposobnost da povežu ranjivosti sa organizacionim kontekstom u kojem se sistemi koriste ukazuje na planiranje i usmjerenost ka ciljevima visoke vrijednosti. Time se otvara pitanje o tome kako se sajber prijetnje oblikuju u skladu sa strateškim interesima, a ne samo kroz tehničke mogućnosti.
Odsustvo privremenih rješenja dodatno naglašava težinu problema. Kada standardne mjere zaštite ne nude nikakav izlaz, ranjivost postaje faktor koji diktira tempo i način rada mrežnih administratora. Takva situacija mijenja odnos prema održavanju sistema, jer se bezbjednosni propust pretvara u centralnu tačku oko koje se organizuje čitav proces rada.
