Cisco SD-WAN 身份驗證機制再度失守，UAT-8616 接連利用兩個 CVSS 10.0 漏洞直取管理權限

Cisco 近日緊急發布安全公告，確認旗下 Catalyst SD-WAN Controller 存在一項 CVSS 評分滿分 10.0 的身份驗證繞過漏洞（編號 CVE-2026-20182），且已遭威脅行為者在真實環境中利用，發動零時差攻擊。美國網路安全暨基礎設施安全局（CISA）已將該漏洞列入已知遭利用漏洞目錄（KEV），並要求聯邦機構於 2026 年 5 月 17 日前完成修補。

漏洞技術核心：對等認證機制失效

CVE-2026-20182 的根本原因在於 Cisco Catalyst SD-WAN Controller（前稱 SD-WAN vSmart）與 SD-WAN Manager（前稱 SD-WAN vManage）的對等認證機制運作異常。攻擊者只要向受影響系統發送特製封包請求，即可在未經身份驗證的情況下，取得系統內部高權限、非 root 帳號的登入權限。

在取得初始存取權後，攻擊者可進一步透過 NETCONF 協定（網路設備管理協定）任意竄改整個 SD-WAN 網路架構設定。更危險的是，攻擊者還能將惡意裝置偽裝成合法節點注入 SD-WAN 環境，使其建立加密連線並廣播由攻擊者掌控的網路路由，進而在受害組織的網路內部進行橫向滲透。

此漏洞由資安廠商 Rapid7 在研究另一個 SD-WAN 漏洞 CVE-2026-20127 的過程中意外發現。Rapid7 研究員 Jonah Burgess 與 Stephen Fewer 指出，CVE-2026-20182 影響的是 vdaemon 服務的 DTLS（UDP 12346 埠），與 CVE-2026-20127 所在服務相同；但兩者屬於不同的安全缺陷，CVE-2026-20182 並非前者的修補繞過。

受影響的部署環境包含地端、Cisco SD-WAN Cloud-Pro、Cisco 代管的 SD-WAN Cloud，以及供政府機構使用的 FedRAMP 版本。

延伸閱讀：網路邊界設備連環爆：Cisco SD-WAN 驚傳遭隱匿攻擊三年，Juniper、 Zyxel 示警高危漏洞

同一攻擊組織連續利用兩個滿分漏洞

這並非今年 Cisco Catalyst SD-WAN 首次出現滿分漏洞。今年 2 月，Cisco 修補了 CVE-2026-20127，同樣是 CVSS 10.0 的身份驗證繞過漏洞，允許未授權攻擊者以高權限帳號登入 Catalyst Controller。Cisco Talos 研究人員指出，該漏洞至少自 2023 年起便已在實際環境中遭到利用，幕後推手是一個被追蹤為 UAT-8616 的高度複雜威脅組織。

CVE-2026-20127 的修補釋出後，UAT-8616 幾乎未受影響，旋即轉而利用本次的 CVE-2026-20182。Talos 研究人員觀察到，該組織在取得初始存取權限後，採取了與上次幾乎相同的後滲透手法：在目標系統中新增 SSH 金鑰、修改 NETCONF 設定，並嘗試從高權限帳號提升至 root 權限。此前在利用 CVE-2026-20127 時，UAT-8616 也曾搭配舊漏洞 CVE-2022-20775 完成權限提升。

Talos 另指出，UAT-8616 與其追蹤的「操作中繼節點（ORB）網路」存在重疊。ORB 網路是中國國家級駭客組織慣用的基礎設施混淆手法，但目前尚無公開聲明，正式將 UAT-8616 歸因於特定國家行為者。

Rapid7 漏洞情資主任 Douglas McKee 強調，SD-WAN Controller 對攻擊者而言具有極高價值，它位於大多數組織幾乎不會質疑的信任關係中樞，是從事情報蒐集的絕佳位置。Rapid7 資深安全研究員 Jonah Burgess 也提醒，一旦集中式控制平面遭到入侵，後果將波及整個網路疊加層，而非僅限於單一設備。

受影響版本與修補版本對照

參照 Cisco 安全公告與文件圖表，各版本對應的首個修補版本如下：

• 20.9 以前的版本：須遷移至有效維護的版本
• 20.9：修補版本為 20.9.9.1
• 20.10 / 20.11：修補版本為 20.12.7.1
• 20.12：修補版本為 20.12.5.4、20.12.6.2 或 20.12.7.1
• 20.13 / 20.14：修補版本為 20.15.5.2
• 20.15：修補版本為 20.15.4.4 或 20.15.5.2
• 20.16 / 20.18：修補版本為 20.18.2.2
• 26.1：修補版本為 26.1.1.1

其中，版本 20.11、20.13、20.14、20.16 已達軟體維護終止狀態，Cisco 強烈建議升級至受支援版本。

防護建議與入侵指標

Cisco 表示，目前沒有任何變通措施能完全緩解此漏洞，升級至修補版本是唯一且根本的解方。此外，組織可採取以下措施降低風險：

• 限制 SD-WAN 管理介面與控制平面介面的存取，僅允許受信任的內部網路或已授權 IP 位址連線
• 稽核 /var/log/auth.log，重點檢視來自不明 IP 的「Accepted publickey for vmanage-admin」登入紀錄
• 比對登入來源 IP 是否與 SD-WAN Manager 網頁介面（WebUI > Devices > System IP）中已設定的 System IP 吻合；若發現不明 IP 成功認證，應視該裝置已遭入侵，並立即聯絡 Cisco TAC
• 檢查 SD-WAN Controller 日誌中是否出現異常的對等連線事件，特別是來自非預期 IP 或與環境架構不符的裝置類型

本文轉載自 DarkReading、TheHackerNews、BleepingComputer。