最近英国国家网络安全中心(NCSC)联合五眼联盟,给思科Catalyst SD-WAN的用户发了个紧急警告,说最近针对这个产品的网络攻击特别多。这些攻击看起来很没差别,但是手段差不多:入侵成功后就会在网络里加个恶意节点,接着再动手获取root权限,一直待在里面不走。NCSC的首席技术官奥利·怀特豪斯建议大家赶紧检查自己的网络,看看有没有被入侵的痕迹,最好照着国际合作伙伴给的办法去找证据。他还说英国的企业最好赶紧给NCSC报个信儿,马上用供应商出的补丁和加固指南来降低风险。NCSC说这些攻击大概是从2023年开始的。思科现在已经修好了Catalyst SD-WAN管理器和控制器里的一堆漏洞,其中最受关注的就是CVE-2026-20127。这个漏洞让身份验证机制失灵了,黑客只要发个特制的请求就能用高权限账户登录控制器,从而操纵整个SD-WAN的网络配置。思科把解决办法发出来了,没什么别的办法。 把管理界面暴露在公网上的组织危险最大。安全团队得赶紧升级到最新版本,还得照着加固指南去做。发现有问题的企业最好马上收集证据并上报。美国那边的网络安全和基础设施安全局(CISA)也发了个紧急指令,让政府机构在2月26日周四前采取行动,周五之前把补丁全打上。 思科的威胁情报部门Talos一直在盯着CVE-2026-20127的利用情况,把这拨攻击叫作UAT-8616。他们说这个团伙特别狡猾,历史活动挺久远的。还有调查显示他们可能会先把软件版本降下来利用CVE-2022-20775升到root权限,然后再改回去冒充正常版本。 Talos还说UAT-8616有个持续的趋势,专门盯着网络边缘设备下手,目的是给那些关键国家基础设施(CNI)运营商之类的高价值目标做滩头堡。虽然没直接说是哪个国家在撑腰,但打公用事业公司这些目标很可能就是民族国家干的。 Q1:CVE-2026-20127到底会带来什么危害? A:这个漏洞能让身份验证失效,黑客通过发特制请求就能用高权限账户登录控制器。一旦进去就能操纵NETCONF来改整个SD-WAN的网络配置,把控制权抢过来。 Q2:哪种组织最容易中招? A:把管理界面放在公网上的企业最危险。UAT-8616专门盯着高价值的目标下手,比如关键国家基础设施运营商、公用事业公司之类的组织。 Q3:企业该怎么防御这次攻击? A:企业要赶紧更新到思科最新的修复版本,还得按照加固指南去做防护措施。千万别把管理界面放在网上暴露给别人看。还要按照搜寻指南去查网络里有没有入侵的迹象。要是真发现有问题了就赶紧上报给相关部门。