思科Catalyst SD-WAN最近遭受了一波大规模网络攻击,英国国家网络安全中心(NCSC)还有五眼联盟的其他机构都发了警告。它们让大家赶紧行动起来,因为有证据显示有人在对这个软件定义广域网(SD-WAN)发起攻击。 攻击手段看着挺普通,但坏人们一旦得手,就会把自己伪装成恶意对等节点,接着进一步搞事,拿到root权限在受害者网络里安个家。NCSC的首席技术官奥利·怀特豪斯说:"这次发的新提醒就是告诉大家,如果在用思科Catalyst SD-WAN,赶紧查一下自己的网有没有被黑,找找坏人留下的痕迹。你们可以用国际合作伙伴给的建议去排查。"他还强调:"强烈建议英国公司把被入侵的情况报给NCSC,赶紧把供应商发的补丁和加固指南用上。" NCSC表示,这些攻击从2023年就开始了,思科已经修复了管理器和控制器里的一堆漏洞。其中最让他们头疼的是CVE-2026-20127,这是一个身份验证绕过的问题。思科解释说:"因为系统上对等身份验证机制出了故障,所以攻击者只要发点特制的请求就能钻空子。一旦得逞,他们就能以内部的高权限账户登录进去。"他们接着说:"这个账户让坏人能操作NETCONF,也就是操控SD-WAN架构的配置。"思科已经发了补丁来堵这个漏洞,"别想着用什么临时方案了,"把管理界面放在公网上的组织最容易中招,"千万别这么干,"。 除了按指南找证据外,安全团队还得赶紧给管理器和控制器打上最新的补丁,并且照着思科给的加固指南办事。要是觉得网里有鬼,"马上从设备上收集证据报给NCSC。"在美国那边也不太平,"网络安全和基础设施安全局(CISA)也发了紧急指令,"让政府机构在2月26日晚上11点59分之前动手,"周五下午5点前必须把补丁全打上。" Talos(思科的威胁情报部门)一直在盯着CVE-2026-20127的活跃利用,"给这股势力起了个代号叫UAT-8616。"Talos认为,UAT-8616是个"高度复杂的网络威胁分子"。因为从历史活动看,他们至少追溯到了2023年,"还有调查显示他们会先降级软件版本去利用CVE-2022-20775这个漏洞拿到root权限,然后再恢复原样。" UAT-8616喜欢盯着网络边缘设备下手,"为的是在高价值的地方建立滩头阵地,比如关键国家基础设施(CNI)运营商。"虽然没直接说是谁在背后撑腰,"但盯着公用事业这类机构看,很可能说明有民族国家在给他们撑腰。" 接下来是Q&A环节:Q1:CVE-2026-20127漏洞到底有啥危害?A:这是个身份验证漏洞。攻击者能发特制请求冒充高权限用户进控制器。然后他们就可以操纵NETCONF,"搞乱SD-WAN架构的配置。"Q2:哪些公司容易挨这一击?A:把管理界面放在公网上的最危险。UAT-8616喜欢对付高价值目标,"比如CNI运营商、"公用事业公司等,"通过攻击边缘设备建立据点。"Q3:企业该怎么防?A:赶紧把管理器和控制器更新到最新版,"用思科的加固指南把管理界面关起来不放到公网,"然后照着指南找找入侵痕迹。"发现不对劲就赶紧上报安全机构。