Il 25 le agenzie di cybersicurezza del gruppo Five Eyes hanno emesso un allarme congiunto sulle attività malevole rivolte ai dispositivi Cisco Catalyst SD-WAN. Le indagini indicano che un gruppo di operatori avanzati ha sfruttato più vulnerabilità, in particolare la CVE-2026-20127, per ottenere accessi non autorizzati e creare possibili punti di persistenza nelle infrastrutture di rete. L’avviso riguarda reti aziendali e infrastrutture critiche con implementazioni SD-WAN gestite da Cisco.
Il pezzo riassume i meccanismi dell’attacco, le evidenze operative utili alle indagini e le misure urgenti raccomandate da Cisco, dal NCSC, dalla CISA e da team di intelligence come Talos. L’obiettivo è fornire indicazioni pratiche per i responsabili della sicurezza di rete e per i gestori di ambienti SD-WAN.
Come funziona l’attacco e cosa lo rende pericoloso
Il testo prosegue descrivendo il modus operandi attribuito all’operatore noto come UAT-8616. L’attore ha sfruttato l’auth bypass associato alla CVE-2026-20127 per creare peerings fittizi all’interno della fabric SD-WAN. In pratica, sono state inviate richieste manipolate che hanno aggirato la meccanica di autenticazione del peering, permettendo il login con un account interno ad alto privilegio non-root.
Una volta ottenuto l’accesso, l’attaccante ha impiegato NETCONF per alterare la configurazione della rete. Le modifiche includevano l’aggiunta di un peer malevolo e operazioni finalizzate alla movimentazione laterale. Le indagini indicano inoltre che UAT-8616 ha storicamente raggiunto l’account root tramite downgrade del software e sfruttamento della CVE-2026-20775, per poi ripristinare la versione originale e ridurre la visibilità dell’intrusione.
Perché gli edge network sono l’obiettivo
Gli edge network rappresentano un punto critico per la connettività tra siti remoti e servizi cloud. Compromettere questi elementi consente di influire sul traffico inter-sito e sulle politiche di instradamento.
La tecnica descritta sfrutta la fiducia implicita tra i nodi di peering e la complessità delle policy di autenticazione. La presenza di account con privilegi elevati amplifica il rischio operativo. Inoltre, il ripristino del software dopo un downgrade complica la rilevazione forense delle attività malevole.
Per i responsabili della sicurezza questo scenario rende cruciale il monitoraggio delle configurazioni, l’analisi integrità dei software di rete e la verifica contestuale delle sessioni NETCONF. I passaggi successivi dell’indagine mirano a chiarire l’estensione dell’accesso e a identificare eventuali altri vettori sfruttati dall’attore.
Gli apparati di bordo rete rappresentano un punto di leva strategico per gli attori ostili: controllando il livello di edge si ottiene visibilità e la possibilità di influire sul traffico di molte sedi. I report indicano che UAT-8616 ha preso di mira in particolare operatori di servizi e organizzazioni del settore delle infrastrutture critiche, dove la persistenza può tradursi in conseguenze operative significative. I passaggi successivi dell’indagine mirano a chiarire l’estensione dell’accesso e a identificare eventuali altri vettori sfruttati dall’attore.
Indicatori di compromissione e procedure di rilevamento
Le linee guida tecniche pubblicate da Talos e dai partner raccomandano di monitorare in modo specifico gli eventi di control connection peering nei log di Catalyst SD-WAN.
Un peering inatteso — ad esempio con peer-type non coerente o da IP pubblici non autorizzati — costituisce un possibile segnale iniziale di compromissione da verificare immediatamente. Gli operatori sono invitati a correlare tali event log con telemetria di rete e autenticazioni amministrative per confermare la natura dell’anomalia.
Gli operatori devono correlare gli event log con telemetria di rete e autenticazioni amministrative per definire la natura dell’anomalia. Tra i principali indicatori di compromissione figurano la creazione o la cancellazione sospetta di account, sessioni root interattive non autorizzate e chiavi SSH non riconosciute nei file authorized_keys. Altri segnali rilevanti includono log anormalmente ridotti o cancellati e downgrade o upgrade del software non giustificati dal change management.
Checklist operativa per l’analisi
Per l’analisi si raccomanda una procedura in più fasi. Verificare i timestamp dei peering rispetto alle finestre di manutenzione programmate. Confrontare gli indirizzi IP con l’inventory e gli intervalli autorizzati. Controllare il tipo di peer (vmanage, vsmart, vedge, vbond) e correlare ogni evento con i log di autenticazione. Incrociare le evidenze con le registrazioni delle attività degli operatori. Ogni peering sospetto richiede una validazione manuale prima di procedere a interventi correttivi.
Azioni di mitigazione e raccomandazioni pratiche
Isolare temporaneamente gli endpoint compromessi per limitare la diffusione dell’incidente. Ripristinare account e chiavi SSH da backup noti e verificati. Applicare patch e aggiornamenti solo dopo verifica della firma e del processo di change management. Ripristinare log cancellati, ove possibile, da sistemi di raccolta centralizzata per preservare le evidenze. Eseguire una revisione delle policy di accesso e delle credenziali con rotazione forzata se necessario.
Infine, aggiornare le procedure di monitoraggio per includere soglie di allerta sui log, controllo delle chiavi SSH e verifica automatizzata delle sessioni ad elevati privilegi. Un controllo di follow-up programmato è essenziale per confermare l’efficacia delle misure adottate e rilevare eventuali ricadute.
Un controllo di follow-up programmato è essenziale per confermare l’efficacia delle misure adottate e rilevare eventuali ricadute. Gli enti interessati devono intervenire con urgenza per ridurre il rischio operativo.
Si raccomanda di applicare immediatamente gli aggiornamenti software forniti da Cisco per correggere CVE-2026-20127 e le altre vulnerabilità correlate. Non sono disponibili workaround efficaci per la CVE-2026-20127, perciò la patch resta la contromisura primaria.
Per le organizzazioni con obblighi di sicurezza formale, la CISA ha emesso una direttiva d’emergenza che richiede inventario dei sistemi, acquisizione di snapshot e raccolta di log per facilitare le analisi forensi. Le attività indicate includono la ricerca proattiva di segni di compromissione e l’applicazione delle patch secondo le scadenze ufficiali.
Il National Cyber Security Centre (NCSC) raccomanda di segnalare eventuali compromissioni alle autorità competenti e di conservare artefatti digitali utili alle indagini. È inoltre consigliabile isolare i dispositivi afetati dalla rete di produzione fino a verifica completa dello stato di integrità.
Buone pratiche a breve termine
Effettuare un inventario dettagliato delle istanze e dei dispositivi esposti. Tale inventario deve includere firmware, versioni software e configurazioni di rete.
Raccogliere e preservare i log di sistema, le configurazioni di rete e gli snapshot delle macchine sospette. Questi artefatti supportano le analisi forensi e il threat hunting.
Implementare controlli di segmentazione della rete per limitare la superficie d’attacco e ridurre la possibilità di movimento laterale. Applicare regole di accesso basate sul principio del least privilege.
Eseguire il reset delle credenziali amministrative esposte e revocare chiavi e certificati potenzialmente compromessi. Attivare l’autenticazione a più fattori dove possibile.
Intensificare il monitoraggio delle telemetrie di rete e degli eventi di autenticazione per individuare comportamenti anomali. Correlare tali segnali con gli indicatori di compromissione noti e con le raccomandazioni di threat hunting pubblicate dalle agenzie.
Pianificare test di verifica post-patch per confermare l’efficacia degli aggiornamenti e la completa rimozione di eventuali artefatti malevoli. Un report di follow-up deve documentare i risultati e le eventuali azioni residue.
Si raccomanda di applicare immediatamente gli aggiornamenti software forniti da Cisco per correggere CVE-2026-20127 e le altre vulnerabilità correlate. Non sono disponibili workaround efficaci per la CVE-2026-20127, perciò la patch resta la contromisura primaria.0
Le misure immediate raccomandate includono la disattivazione delle interfacce di management esposte su Internet e il rafforzamento dei controlli di accesso amministrativo. Occorre gestire con rigore le chiavi SSH e abilitare logging completo con retention sicura dei log per garantire tracciabilità e audit.
È necessario predisporre un piano di risposta che consenta di isolare i nodi compromessi e ripristinare i sistemi da backup verificati. La campagna attribuita a UAT-8616 ribadisce l’importanza di profilare costantemente i comportamenti dei dispositivi di rete e di mantenere un programma proattivo di patching e hardening. Le organizzazioni che adottano Cisco Catalyst SD-WAN devono identificare rapidamente peer sospetti, applicare le correzioni disponibili e attenersi alle indicazioni tecniche fornite dai vendor e dalle agenzie di sicurezza. Controlli di follow-up e monitoraggio continuo rimangono essenziali per confermare l’efficacia delle contromisure e rilevare eventuali recidive.
