文章总结： 文档披露思科SD-WAN零日漏洞CVE-2026-20127已被积极利用且PoC公开。该漏洞源于RESTAPI认证缺陷，允许未授权访问。攻击者UAT-8616利用该漏洞执行多阶段攻击链，包括降级提权、植入SSH密钥持久化及日志清除。CISA已将其列入KEV目录。建议立即审计SD-WAN日志排查异常对等连接与SSH修改痕迹，应用补丁并参照相关指南进行威胁狩猎。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,威胁情报,应急响应

思科SD-WAN零日漏洞已被利用，PoC漏洞利用程序已发布

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月6日 12:49 北京

针对CVE-2026-20127 的公开概念验证 (PoC) 漏洞利用程序已经发布 ，CVE-2026-20127 是 Cisco Catalyst SD-WAN 控制器和 SD-WAN 管理器中的一个最高严重性零日漏洞，该漏洞至少从 2023 年起就已被积极利用。

Cisco Talos 正在跟踪集群 UAT-8616 下的威胁活动，并将其描述为针对全球关键基础设施的“高度复杂的网络威胁行为者”。

zerozenxlabs 在 GitHub 上发布的 PoC包括一个可运行的 Python 漏洞利用脚本和一个 JSP webshell ( cmd.jsp)。

它还包含一个可部署的 WAR 文件，降低了更多威胁行为者利用这一严重漏洞的门槛。

攻击原理

该漏洞的出现是因为  受影响的思科 SD-WAN 系统中的对等认证机制存在缺陷。

未经身份验证的远程攻击者向 SD-WAN 控制器的 REST API 发送特制的 HTTP 请求，完全绕过登录过程，无需任何有效凭据即可获得管理会话。

进入系统后，UAT-8616 执行了多阶段攻击链：

1. 初始访问：利用 CVE-2026-20127 漏洞获取高权限的非 root 管理员访问权限，并将恶意对等设备添加到 SD-WAN 管理/控制平面。
2. 权限提升：故意将软件版本降级，重新引入较早的 CVE-2022-20775 漏洞，从而提升到完全 root 权限。
3. 版本恢复：将系统恢复到其原始软件版本，以消除降级的取证证据。
4. 持久性：将未经授权的 SSH 密钥添加到 /home/root/.ssh/authorized_keys，在 sshd_config 中设置 PermitRootLogin yes，并修改 SD-WAN 启动脚本。
5. 横向移动：使用 NETCONF（端口 830）和 SSH 在SD-WAN 设备之间进行横向移动，并操作整个结构配置。
6. 掩盖：清除了 syslog、bash_history、wtmp、lastlog 和 /var/log/ 下的日志。

Cisco Talos 敦促管理员立即审核 SD-WAN 日志中的控制连接对等事件，以查找未经授权的 vManage 对等连接、意外的源 IP 和异常时间戳。

任何显示恶意对等节点添加、 SSH 密钥修改或版本降级/升级周期的日志条目都应视为高度可靠的入侵指标。

CISA 已将 CVE-2026-20127 添加到其已知利用漏洞 (KEV) 目录中，并强制要求联邦机构紧急修补。

使用 Cisco Catalyst SD-WAN 的组织应立即应用补丁，查看安全公告，并遵循澳大利亚网络安全中心 SD-WAN 威胁狩猎指南来检查是否存在安全漏洞。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《思科SD-WAN零日漏洞已被利用，PoC漏洞利用程序已发布》