文章总结: 五眼联盟联合预警,思科SD-WAN系统存在两个已被利用的关键漏洞CVE-2026-20127和CVE-2022-20775,允许攻击者访问系统、提升至root权限、获取敏感信息及覆盖文件。攻击活动自2023年起持续,攻击者通过植入非法节点伪装成合法组件实现持久化并干扰检测。建议受影响组织立即进行资产盘点、漏洞扫描、威胁狩猎和日志审计,并应用官方补丁、实施网络分段以加强防护。 综合评分: 85 文章分类: 漏洞预警,威胁情报,网络安全,解决方案,应急响应
紧急预警:五眼联盟联合发声,思科SD-WAN系统遭国家级黑客利用
原创
ZM ZM
暗镜
2026年2月27日 09:11 辽宁
🚨 事件概述
五眼联盟网络安全机构于本周三发布联合紧急警报,”高级威胁行为者”正在积极利用思科(Cisco)SD-WAN系统中的新漏洞发动网络攻击。美国网络安全和基础设施安全局(CISA)已发布紧急指令,将此活动定性为对联邦民事行政部门网络构成“不可接受的风险”。
🎯 漏洞详情
本次警报涉及两个已被证实遭实际利用的关键漏洞:
表格
复制
| 漏洞编号 | 状态 | | — | — | | CVE-2026-20127 | 已确认遭利用 | | CVE-2022-20775 | 已确认遭利用 |
思科官方安全公告指出,这些漏洞允许攻击者:
- ✅ 访问受影响系统
- ✅ 将权限提升至 root 级别
- ✅ 获取敏感信息
- ✅ 覆盖任意文件
重要提示:思科强调这些漏洞相互独立,利用其中一个并不需要先利用另一个,大大降低了攻击门槛。
🌍 全球影响范围
此次威胁绝非仅限于美国:
- 🇺🇸 美国:CISA发布紧急指令,要求联邦机构立即行动
- 🇬🇧 英国:国家网络安全中心(NCSC)确认全球组织均受影响
- 🇦🇺 澳大利亚:信号局发布技术”搜寻指南”,协助企业自查
- 🇨🇦 加拿大、🇳🇿 新西兰:同步参与联合预警
英国NCSC首席技术官 Ollie Whitehouse 明确表示:”使用受影响思科产品的组织应紧急调查其网络是否受到入侵,并开始寻找入侵发生的证据。”
🕵️ 攻击手法深度解析
根据澳大利亚信号局发布的《威胁搜寻指南》,攻击活动呈现以下特征:
时间线
- 最早活动:2023年起即有恶意攻击者开始利用
- 漏洞性质:去年底发现并修复的零日漏洞
- 持续时间:至少2年以上的持续渗透活动
攻击路径
- 非法节点植入:攻击者创建一个非法节点
- 连接管理平面:将其接入组织SD-WAN的网络管理或控制平面
- 伪装合法组件:该设备表现为”新的、临时的、由攻击者控制的SD-WAN组件”
- 执行可信操作:在管理和控制平面内执行受信任的操作
持久化与隐蔽
获得访问权限后,攻击者会:
- 🔓 建立长期持久化机制
- 👑 获取 root 访问权限
- 🕶️ 干扰日志记录和其他监控措施以逃避检测
⚡ 紧急应对建议
立即行动清单
- 资产盘点:确认是否使用思科 Catalyst SD-WAN 产品
- 漏洞扫描:检查系统是否存在 CVE-2026-20127 和 CVE-2022-20775
- 威胁狩猎:参照澳大利亚信号局指南,查找入侵证据(IoC)
- 日志审计:重点检查2023年至今的管理平面访问记录
- 权限审查:核查SD-WAN组件的异常权限提升行为
长期防护
- 及时应用思科官方安全补丁
- 实施网络分段,隔离SD-WAN管理平面
- 加强监控,特别关注”新加入”的SD-WAN组件
💡 深度解读
此次事件凸显了国家级网络威胁的几个关键趋势:
- 长期潜伏:攻击者长达两年的潜伏表明其具备极高的耐心和隐蔽性
- 关键基础设施成为目标:SD-WAN作为企业网络的核心枢纽,一旦失守将导致全局沦陷
- 供应链与生态系统的脆弱性:单一厂商漏洞可能波及全球数以万计的组织
五眼联盟的联合响应速度也表明,此次威胁的严重性已达到国家级紧急事件级别。对于使用思科SD-WAN的企业而言,现在不是”是否会被攻击”的问题,而是”是否已经被攻击而尚未发现”的问题。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:暗镜 ZM ZM《紧急预警:五眼联盟联合发声,思科SD-WAN系统遭国家级黑客利用》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论