Cisco Catalyst SD-WAN 控制器近期爆發了一個極其嚴重的安全性漏洞 CVE-2026-20182,其 CVSS 評分高達 10.0 滿分。這意味著該漏洞在影響範圍、攻擊難易度以及造成的損害上都處於最高等級。美國 CISA(網路安全與基礎設施安全局)已將其列入 KEV(已知被利用漏洞)名單,強制要求相關政府機構立即修復。對於維運工程師來說,這個漏洞的危險性在於它允許遠端攻擊者在完全不需要帳號密碼的情況下,直接繞過認證機制並獲取系統管理員權限。
理解 SD-WAN 與管理權限的風險
首先要理解 SD-WAN(軟體定義廣域網路)在企業網路中的角色。它就像是整個公司網路的中央指揮中心,負責管理分佈在各地的路由器與網路路徑。如果 SD-WAN 的控制器(Controller)被攻破,攻擊者就等於拿到了整座大樓的萬能鑰匙,可以隨意更改網路設定、攔截流量或將惡意指令下發到所有分支機構的設備中。
這次的 CVE-2026-20182 屬於認證繞過(Authentication Bypass)漏洞。簡單來說,認證機制本應像一道門鎖,檢查使用者是否擁有合法的憑證;但這個漏洞讓攻擊者可以找到一條後門,直接跳過檢查步驟進入管理介面。一旦進入,攻擊者便擁有最高管理權限,能對系統進行任何操作。
攻擊者的後續行動與威脅鏈
根據 Cisco Talos 的分析,一個代號為 UAT-8616 的威脅組織正積極利用此漏洞。他們在獲取管理權限後的標準操作流程(Playbook)非常具有侵略性:首先會嘗試添加自己的 SSH 金鑰(SSH Keys),確保即便漏洞被修補,他們依然能透過加密通道再次進入系統。接著,他們會修改 NETCONF(一種用於網路設備配置的協定)設定,並嘗試將權限提升至 root(系統最高權限),徹底掌控底層作業系統。
更危險的是,這次攻擊並非單打獨鬥,而是採取漏洞鏈(Vulnerability Chaining)策略。攻擊者將 CVE-2026-20182 與之前的幾個漏洞(如 CVE-2026-20133 等)組合使用。這種做法就像是先用 A 漏洞打開窗戶,再用 B 漏洞解開房門鎖,最後用 C 漏洞偷走保險箱密碼。
Web Shell 與 C2 框架的部署
在成功入侵後,攻擊者會部署 Web Shell。Web Shell 是一種植入伺服器上的惡意腳本(例如本次出現的 JSP 格式),讓攻擊者能透過瀏覽器直接在伺服器上執行 Bash 指令,就像直接操作終端機一樣。
目前已觀測到至少 10 個不同的攻擊集群利用這些漏洞,其目的各異:有些部署 Godzilla 或 Behinder 等知名 Web Shell 進行遠端控制;有些利用 Sliver 等 C2(Command and Control,指令與控制)框架來維持對受害機器的長期掌控;甚至有部分攻擊者僅將其作為挖礦機(XMRig)的跳板,或利用 NimPlant 等後門程式竊取系統資訊。
最嚴重的個案涉及憑證竊取,攻擊者會嘗試獲取管理員的 Hashdump(密碼雜湊值)、用於 REST API 認證的 JWT(JSON Web Token)金鑰片段,甚至是 AWS 的雲端憑證,這將導致攻擊範圍從地端網路擴散至雲端基礎設施。
實務建議與對策
面對此類高危險漏洞,工程師不能僅僅依賴防火牆,因為管理介面往往需要對外開放以供維運。最核心的對策是立即更新至 Cisco 官方提供的修補版本。
在更新完成前,應採取嚴格的存取控制(ACL),限制僅允許特定信任的 IP 位址訪問 SD-WAN 管理介面,並密切監控系統日誌中是否有異常的 SSH 金鑰添加紀錄或非預期的 NETCONF 設定變更。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。