Allerta infrastrutture critiche: la CISA conferma attacchi globali ai router Cisco SD-WAN

La CISA ha lanciato un allarme congiunto con partner internazionali sull’exploitation globale di vulnerabilità in Cisco SD-WAN, aggiungendo CVE-2026-20127 e CVE-2022-20775 al catalogo Known Exploited Vulnerabilities (KEV) oltre alle altre emerse nella giornata del 25 febbraio. Non si tratta di un warning generico: l’attività osservata dal 2023 indica campagne mirate contro infrastrutture ad alto valore, con catene di exploit che consentono bypass di autenticazione, escalation a root e persistenza su edge device. Nel mirino c’è l’ecosistema Cisco Catalyst SD-WAN, spesso collocato al perimetro di reti enterprise e ambienti critici. L’edge, oggi, non è più solo un punto di transito: è un punto di controllo. E quando viene compromesso, l’impatto si propaga lungo l’intera architettura.

CVE-2026-20127 e CVE-2022-20775: la catena che porta a root

La dinamica più preoccupante è la combinazione delle vulnerabilità. CVE-2026-20127 viene sfruttata per ottenere accesso iniziale, bypassando l’autenticazione nel controller SD-WAN attraverso richieste crafted che concedono privilegi amministrativi come utente interno ad alto privilegio. Non root, ma sufficienti per preparare il terreno. A quel punto entra in gioco CVE-2022-20775, vulnerabilità nel CLI del software SD-WAN che consente a un attaccante autenticato di eseguire comandi arbitrari con privilegi elevati fino a root, sfruttando controlli di accesso impropri. Cisco ha attribuito a questa issue un CVSS 7.8, indicando un impatto elevato su confidenzialità, integrità e disponibilità. Secondo le analisi condivise, l’attore UAT-8616 utilizza tecniche di downgrade del software per rendere sfruttabile la vulnerabilità di escalation, impiegando stringhe di path traversal come “/../../” o varianti con newline injection per aggirare i controlli. Una volta ottenuto root, l’attaccante ripristina la versione precedente del software, lasciando un ambiente apparentemente coerente ma compromesso. Il risultato è una chain completa di compromissione, dall’accesso iniziale al controllo totale del dispositivo.

UAT-8616: persistenza silenziosa sugli edge device

L’attore identificato come UAT-8616 opera almeno dal 2023 contro organizzazioni ad alto valore, inclusi settori di Critical Infrastructure. Le tecniche osservate puntano a stabilire foothold persistenti sugli edge device SD-WAN, sfruttando il fatto che questi sistemi sono spesso esposti o comunque raggiungibili da segmenti critici della rete. Le azioni post-exploitation includono la creazione e successiva cancellazione di account malevoli, l’avvio di sessioni root interattive con chiavi SSH non contabilizzate, e la modifica del file /etc/ssh/sshd_config per impostare “PermitRootLogin yes”. In alcuni casi vengono aggiunte chiavi SSH non autorizzate per utenti amministrativi come vmanage-admin. Un altro elemento ricorrente è la manipolazione dei log. File in /var/log/ appaiono troncati o insolitamente piccoli. La cronologia CLI può essere presente senza una corrispondente bash history, creando un disallineamento tra attività effettiva e tracciamento. Talos ha rilevato anche eventi di peering anomali nei log, con messaggi come “control-connection-state-change new-state:up”, non giustificati da maintenance window o cambi configurativi legittimi. A questi si aggiungono riavvii e messaggi di upgrade/downgrade del software, indizio di tentativi di sfruttamento e successivo ripristino per coprire le tracce.

Indicatori di compromissione: cosa cercare nei log

Gli indicatori di compromissione condivisi comprendono peering events non autorizzati, aggiunte o rimozioni di peer inattese, chiavi SSH sconosciute in /home/root/.ssh/authorized_keys, modifiche sospette a sshd_config e presenza di record in known_hosts non spiegabili. Ulteriori segnali includono file di log con dimensioni anomale, presenza di CLI history senza bash history corrispondente, e cambi di versione del software con reboot associati, documentati nei log con stringhe riconducibili a operazioni di upgrade in attesa di conferma. Per la detection preventiva sono state pubblicate regole Snort 65938 e 65958, ma il messaggio degli analisti è chiaro: la sola signature non basta. Serve correlazione tra eventi di controllo, autenticazione e configurazione.

Emergency Directive 26-03: l’ordine di CISA alle agenzie federali

Con l’inserimento delle vulnerabilità nel KEV Catalog, la CISA ha imposto azioni immediate alle agenzie FCEB tramite la Emergency Directive 26-03. L’ordine prevede l’inventario dei sistemi Cisco SD-WAN, l’applicazione delle patch disponibili, la raccolta di artifact per threat hunting e la verifica di eventuali compromissioni pregresse. Il documento richiama anche le guide tecniche prodotte con partner come NSA, ASD’s ACSC, Cyber Centre, NCSC-NZ e NCSC-UK, sottolineando la natura coordinata della risposta. L’ACSC ha pubblicato una specifica Cisco SD-WAN Threat Hunt Guide, basata su dati investigativi condivisi. La richiesta non è limitata al patching. CISA insiste su logging remoto, segmentazione, controllo degli accessi e review manuale degli eventi di peering, consapevole che un attore persistente può aver già stabilito accessi non evidenti.

La hardening guide di Cisco: segmentazione, RBAC e controllo perimetrale

Parallelamente, Cisco ha aggiornato la Hardening Guide per Catalyst SD-WAN, enfatizzando misure strutturali. Il primo principio è la riduzione dell’esposizione: posizionare i componenti di controllo dietro firewall, isolare VPN 0 da VPN 512, utilizzare DMZ con NAT 1:1 per ambienti self-hosted, e limitare rigorosamente le sorgenti autorizzate. La guida insiste su RBAC rigoroso, con ruoli granulari come operator e netadmin, evitando over-privileging. Raccomanda password policy elevate, MFA tramite integrazione con soluzioni come Duo, e configurazione SSO con identity provider affidabili. Sul piano crittografico, Cisco suggerisce l’uso di TLS/DTLS per tunnel, AES-256-GCM, modalità FIPS, e chiavi pairwise IPsec con rekey periodico. Viene consigliata la sostituzione dei certificati self-signed per la web UI con certificati firmati da CA affidabili. Un altro punto chiave è il logging centralizzato e sicuro, con forwarding via TLS verso server remoti, retention adeguata e monitoraggio continuo delle directory di log locali.

Impatto globale e rischio per supply chain digitale

L’exploitation osservata ha impatto potenziale su elettronica, AI, difesa e servizi critici, perché SD-WAN è spesso l’ossatura della connettività distribuita. Un edge device compromesso può diventare punto di pivot verso data center, ambienti cloud e reti OT. La combinazione di vulnerabilità recenti e legacy dimostra come gli attori sappiano sfruttare finestre temporali ampie, mantenendo accessi per mesi o anni. In uno scenario di supply chain digitale interconnessa, il compromesso di un nodo può propagarsi rapidamente. Per questo CISA e partner parlano apertamente di minacce persistenti e richiedono misure proattive. Non basta chiudere la vulnerabilità: occorre verificare che non vi sia già un attore insediato.

Strategie difensive: oltre la patch

Le organizzazioni sono chiamate a una risposta multilivello. Aggiornamento immediato alle versioni corrette, verifica delle release affette, e rimozione di configurazioni deboli sono il primo passo. Ma altrettanto cruciale è la revisione delle sessioni attive, delle chiavi SSH autorizzate, e dei log di controllo delle connessioni. L’adozione di MFA per l’accesso amministrativo, la limitazione delle sessioni e dei timeout CLI, e la rotazione regolare delle chiavi sono elementi che riducono la finestra di sfruttamento. L’inserimento delle vulnerabilità nel KEV è un segnale forte: il rischio non è teorico. È osservato, documentato e attivo. E in un contesto dove gli edge device rappresentano la porta di ingresso verso infrastrutture distribuite, la loro protezione diventa una priorità strategica.