Scopri anche

• OpenClaw, l'agente AI vietato da Meta per gravi vulnerabilità di sicurezza
• Starlink disabilitato per l'esercito russo: tecnici esposti agli attacchi mentre i droni ucraini colpiscono
• Marathon: Bungie adotta tolleranza zero contro i cheater con ban permanenti immediati
• iOS 26.3.1: Apple testa aggiornamento di manutenzione con focus su sicurezza
• Google Chrome: vulnerabilità zero-day corrette, aggiornamento urgente richiesto
• Google corregge CVE-2026-2441: prima zero-day del 2026 già sfruttata in attacchi reali
• Vulnerabilità nei robot DJI Romo: accesso non autorizzato a 7.000 dispositivi
• Ransomware 2025-2026: il firewall diventa il punto di ingresso nel 90% degli attacchi
• iOS 26: aggiornamenti, novità e risoluzione problemi
• CVE-2026-1731: CISA conferma sfruttamento attivo della vulnerabilità critica BeyondTrust
• Google Chrome: vulnerabilità zero-day CVE-2026-2441 già sfruttata in attacchi reali
• Vulnerabilità DJI Romo: accesso non autorizzato a 7.000 robot aspirapolvere
• Le chiavi BootROM della PlayStation 5 trapelano online: una vulnerabilità hardware irreversibile
• Patch Tuesday febbraio 2026: sei zero-day già sfruttate, Google corregge falla critica in Chrome
• Vulnerabilità zero-day in WebKit: Apple rilascia patch urgente per attacchi mirati
• Vulnerabilità zero-day in Google Chrome: analisi delle falle critiche e aggiornamenti di sicurezza
• Netflix rimuove la funzione Cast: utenti smart TV e piano con pubblicità colpiti dall'aggiornamento
• F-35 e jailbreak: la dichiarazione del ministro olandese riapre il dibattito sulla sovranità software
• Sicurezza Android: aggiornamenti, anti-furto e nuove protezioni
• Nintendo Switch 2: rilasciato l'aggiornamento di sistema 21.2.0

Vulnerabilità zero-day critica in Cisco SD-WAN sfruttata dal 2023: CISA emette direttiva d'emergenza

CVE-2026-20127: vulnerabilità critica Cisco SD-WAN sfruttata attivamente dal 2023

Cisco ha divulgato il 25 febbraio 2026 una vulnerabilità zero-day di gravità massima (CVSS 10.0) nei prodotti Catalyst SD-WAN Controller e Manager, tracciata come CVE-2026-20127. La falla, che permette a un attaccante remoto non autenticato di bypassare i controlli di autenticazione e ottenere privilegi amministrativi, è stata sfruttata attivamente in ambito selvatico (in-the-wild) almeno dal 2023. L'exploitazione è attribuita a UAT-8616, cluster di minacce definito da Cisco Talos come "highly sophisticated cyber threat actor".

Meccanismo della vulnerabilità e impatto tecnico

⬆ Torna su

La CVE-2026-20127 risiede nel meccanismo di peering authentication dei sistemi Cisco Catalyst SD-WAN Controller (precedentemente noto come vSmart) e Cisco Catalyst SD-WAN Manager (precedentemente vManage). Secondo l'advisory di Cisco, "il meccanismo di autenticazione del peering in un sistema affetto non funziona correttamente". Un attaccante può inviare richieste appositamente predisposte per accedere al sistema come utente interno ad alto privilegio non-root.

Con questo accesso, l'attaccante può utilizzare NETCONF (Network Configuration Protocol) per manipolare la configurazione dell'intero fabric SD-WAN. Le azioni possibili includono l'aggiunta di rogue peer alla rete, la modifica delle regole di routing e l'alterazione delle configurazioni di sicurezza. Il punteggio CVSS v3.1 di 10.0 deriva dal vettore di attacco via rete, dalla bassa complessità di sfruttamento, dall'assenza di privilegi richiesti e dall'assenza di interazione utente.

La vulnerabilità impatta le distribuzioni on-premise e gli ambienti Cisco-hosted SD-WAN Cloud, incluse le configurazioni standard, managed e FedRAMP. Cisco conferma che non esistono workaround completi.

Versioni affette e patch disponibili

⬆ Torna su

La vulnerabilità affetta le versioni di Cisco Catalyst SD-WAN Controller e Manager dalla 20.3.1 alla 20.14.3 e la versione 20.15.1. Cisco ha rilasciato patch il 25 febbraio 2026 con le versioni fisse 20.14.4 e 20.15.2. Le versioni 20.11, 20.13, 20.14, 20.16 e quelle precedenti alla 20.9 hanno raggiunto la fine del periodo di manutenzione software e richiedono aggiornamento a una release supportata.

Attore minaccioso UAT-8616 e catena di attacco

⬆ Torna su

Cisco Talos traccia l'attività malevola sotto il moniker UAT-8616, valutando con "alta confidenza" che si tratta di un attore minaccioso sofisticato. I report intelligence indicano che l'exploitazione è iniziata nel 2023, con targeting su reti ad alto valore tra cui infrastrutture critiche.

La catena di attacco documentata segue un pattern preciso: dopo aver compromesso l'interfaccia di gestione esposta su internet sfruttando CVE-2026-20127, gli attaccanti aggiungono un rogue peer per ottenere accesso persistente. Successivamente effettuano il downgrade del software a una versione vulnerabile a CVE-2022-20775 (vulnerabilità di path traversal con CVSS 7.8), che permette l'escalation dei privilegi a root. Dopo l'exploitazione, ripristinano la versione originale per evadere il rilevamento.

Le azioni post-compromissione includono la creazione di account utente mimic e l'aggiunta di chiavi SSH per accesso root persistente. L'Australian Cyber Security Centre (ACSC) riferisce che il dispositivo rogue appare come un nuovo componente SD-WAN temporaneo ma controllato dall'attore, in grado di condurre azioni fidate all'interno del management e control plane.

Risposta istituzionale: Five Eyes e direttiva d'emergenza CISA

⬆ Torna su

Le agenzie cybersecurity dei Five Eyes hanno emesso un avviso coordinato sulla vulnerabilità. Il 25 febbraio 2026, CISA ha pubblicato l'Emergency Directive 26-03 intitolata "Mitigate Vulnerabilities in Cisco SD-WAN Systems", ordinando alle Federal Civilian Executive Branch (FCEB) agencies di applicare le mitigazioni entro il 27 febbraio 2026. CISA ha inoltre aggiunto CVE-2026-20127 e CVE-2022-20775 al Known Exploited Vulnerabilities (KEV) catalog.

Nick Andersen, executive assistant director per cybersecurity presso CISA, ha dichiarato durante un briefing che gli attori minacciosi stanno tentando attivamente di accedere e potenzialmente compromettere le reti federali attraverso l'exploitazione della falla. Andersen ha evidenziato un aumento volumetrico sia nel comportamento degli attori minacciosi sia nell'estensione della superficie d'attacco targetizzata.

L'Australian Signals Directorate's Australian Cyber Security Centre (ASD-ACSC) ha pubblicato un report congiunto indicando che l'exploitazione ha permesso l'aggiunta di rogue peer al management e control plane SD-WAN. Il Canadian Cyber Centre ha emanato l'alert AL26-004 notando incidenti di rogue peer.

Indicatori di compromissione e linee guida di hunting

⬆ Torna su

Cisco raccomanda di auditare il file /var/log/auth.log per voci relative ad "Accepted publickey for vmanage-admin" provenienti da indirizzi IP sconosciuti o non autorizzati. Gli amministratori devono confrontare questi IP con gli System IP configurati elencati nella SD-WAN Manager web UI (WebUI > Devices > System IP).

Gli indicatori di compromissione aggiuntivi includono: creazione e cancellazione di account utente malevoli, login root inaspettati, chiavi SSH non autorizzate negli account vmanage-admin o root, modifiche che abilitano PermitRootLogin. Devono essere cercati anche file di log insolitamente piccoli o mancanti (potenziale log tampering) e downgrade software con riavvii (potenziale exploitazione di CVE-2022-20775).

CISA raccomanda di analizzare specificamente i log /var/volatile/log/vdebug, /var/log/tmplog/vdebug e /var/volatile/log/sw_script_synccdb.log per rilevare l'exploitazione di CVE-2022-20775. In caso di compromissione dell'account root, le agenzie dovrebbero effettuare installazioni pulite piuttosto che tentare di sanare l'infrastruttura esistente.

Considerazioni operative e contesto

⬆ Torna su

La divulgazione coordinata evidenzia uno shift nelle priorità degli attaccanti: piuttosto che targetizzare solo endpoint o applicazioni user-facing, i gruppi sofisticati perseguono tecnologie control-plane come SD-WAN, firewall e sistemi di identità che offrono accesso strategico alla rete. I controller SD-WAN gestiscono routing, enforcement delle policy e autenticazione dei dispositivi attraverso ambienti distribuiti; un attaccante con accesso privilegiato può interrompere i flussi di traffico, reindirizzare le comunicazioni o utilizzare la posizione per movimento laterale verso asset cloud e on-premise.

Al momento della pubblicazione, non è stato identificato codice Proof-of-Concept (PoC) pubblico per CVE-2026-20127. Tuttavia, gli esperti anticipano che se un PoC viene rilasciato, attaccanti aggiuntivi inizieranno a sfruttare l'exploit per condurre scanning di massa ed exploitazione contro dispositivi vulnerabili.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La compromissione prolungata e silenziosa di infrastrutture SD-WAN da parte di un attore sofisticato solleva interrogativi sulla capacità di rilevamento delle intrusioni in componenti control-plane. L'assenza di workaround completi amplifica l'urgenza operativa per le organizzazioni che non possono applicare immediatamente le patch.

• Scenario 1: le organizzazioni che non completano l'aggiornamento entro le scadenze della direttiva CISA potrebbero esporre reti critiche a ulteriori compromissioni, con rischio di movimento laterale verso ambienti cloud e on-premise.
• Scenario 2: il rilascio di un PoC pubblico, sebbene non ancora disponibile, potrebbe estendere l'exploitazione ad attori meno sofisticati, aumentando la superficie d'attacco su dispositivi ancora vulnerabili.
• Scenario 3: la persistenza di rogue peer non rilevati potrebbe mantenere canali di accesso attivi anche dopo l'applicazione delle patch, richiedendo attività di hunting più approfondite.

Cosa monitorare

⬆ Torna su

• L'eventuale pubblicazione di codice Proof-of-Concept e l'evoluzione del targeting da parte di attori secondari.
• L'aggiornamento degli indicatori di compromissione da parte di Cisco e delle agenzie dei Five Eyes.
• Le comunicazioni su UAT-8616 e potenziali nuove campagne legate allo stesso cluster di minacce.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://vpncentral.com/cisco-sd-wan-zero-day-cve-2026-20127-exploited-since-2023-for-root-access/
• https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html
• https://www.esentire.com/security-advisories/cve-2026-20127-cisco-catalyst-zero-day-vulnerability
• https://www.csoonline.com/article/4137562/five-eyes-issue-emergency-directive-on-exploited-cisco-sd-wan-zero-day.html
• https://www.tenable.com/blog/cve-2026-20127-cisco-catalyst-sd-wan-controllermanager-zero-day-authentication-bypass
• https://securityboulevard.com/2026/02/cve-2026-20127-cisco-catalyst-sd-wan-controller-manager-zero-day-authentication-bypass-vulnerability-exploited-in-the-wild/
• https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/