Cisco Khắc Phục Lỗ Hổng Zero-Day Thứ Sáu Trên SD-WAN Trong Năm 2026

Cisco đã công bố sự sẵn có của các bản vá cho một lỗ hổng zero-day nghiêm trọng khác trên SD-WAN đang bị khai thác trong các cuộc tấn công. Đây là lỗ hổng SD-WAN thứ sáu được phát hiện đang bị khai thác trong năm 2026.

Lỗ hổng zero-day SD-WAN mới này được theo dõi dưới mã số CVE-2026-20182. Cisco mô tả đây là lỗ hổng bỏ qua xác thực (authentication bypass) cho phép kẻ tấn công từ xa có được quyền quản trị viên trên hệ thống mục tiêu thông qua các gói tin được tạo đặc biệt.

Lỗ hổng ảnh hưởng đến cơ chế xác thực ngang hàng trong Cisco Catalyst SD-WAN Controller (trước đây là SD-WAN vSmart) và Cisco Catalyst SD-WAN Manager (trước đây là SD-WAN vManage).

Thiết bị mạng Cisco

Cisco cho biết họ đã nhận thấy sự khai thác tích cực vào tháng 5. Nhóm tình báo và nghiên cứu mối đe dọa Talos của công ty tiết lộ rằng CVE-2026-20182 dường như đã bị khai thác trong các cuộc tấn công hạn chế bởi một tác nhân đe dọa mà họ theo dõi dưới tên UAT-8616.

Các nhà nghiên cứu của Talos mô tả UAT-8616 là một nhóm cực kỳ tinh vi, nhưng động cơ và mối liên hệ tiềm ẩn của họ với một quốc gia cụ thể hoặc nhóm nào đó vẫn chưa được tiết lộ. Cùng một tác nhân đe dọa này trước đây đã khai thác CVE-2026-20127 để truy cập trái phép vào các hệ thống SD-WAN.

"UAT-8616 đã cố gắng thêm các khóa SSH, sửa đổi cấu hình NETCONF và thăng cấp lên đặc quyền root. Các phát hiện của chúng tôi cho thấy cơ sở hạ tầng được UAT-8616 sử dụng để thực hiện khai thác và các hoạt động sau khi bị xâm phạm cũng trùng lặp với các mạng Operational Relay Box (ORB) mà Talos theo dõi chặt chẽ," Talos giải thích.

Rapid7 đã được ghi nhận là đơn vị báo cáo CVE-2026-20182 cho Cisco. Công ty an ninh mạng này, đã chia sẻ các chi tiết kỹ thuật với nhà cung cấp vào ngày 9 tháng 3, cho biết họ phát hiện ra điểm yếu này trong quá trình phân tích CVE-2026-20127, lưu ý rằng chúng là các lỗi khác nhau ảnh hưởng đến cùng một thành phần.

Rapid7 đã công bố chi tiết về lỗ hổng vào thứ Năm, và Cisco đã cung cấp các chỉ số bị xâm phạm (IoCs) để giúp các công ty phát hiện các cuộc tấn công tiềm năng.

CISA đã thêm CVE-2026-20182 vào danh mục KEV (Known Exploited Vulnerabilities) của mình, chỉ đạo các cơ quan liên bang giải quyết vấn đề này trong vòng ba ngày. Danh sách KEV hiện bao gồm 15 lỗ hổng SD-WAN của Cisco, năm trong số đó được phát hiện trong năm nay. Ngoài CVE-2026-20182, các lỗi khác được theo dõi là CVE-2026-20128, CVE-2026-20122, CVE-2026-20133 và CVE-2026-20127.

Một lỗ hổng SD-WAN cũ hơn, CVE-2022-20775, cũng bị gắn cờ là đã bị khai thác trong tự nhiên (in the wild) trong năm nay, cùng với CVE-2026-20127.

Cisco Talos vào thứ Năm cũng đã mô tả 10 cụm hoạt động được quan sát thấy đang khai thác các lỗ hổng SD-WAN để phân phối phần mềm đào tiền ảo (cryptocurrency miners), công cụ đánh cắp thông tin xác thực, backdoors, webshells và các phần mềm độc hại cũng như công cụ hack khác.