【 資安警訊 】- 今年 2 月修補的思科 SD-WAN 系統高風險漏洞,已有多組人馬用於實際攻擊
發布編號:OIS-CTI-2026-05-003
情資來源:iThome
事件類型:漏洞警訊公告
內容說明:
思科威脅情報團隊 Talos 指出,他們在追蹤 UAT-8616 的過程裡,也發現其他駭客加入攻擊思科SD-WAN 系統的行列,這些駭客利用的弱點,是今年 2 月下旬修補的 CVE-2026-20122、CVE-2026-20126、CVE-2026-20133。
圖片來源:iThome
本週思科警告 Catalyst SD-WAN Controller 與 Catalyst SD-WAN Manager(原名 SD-WAN vSmart、SD-WAN vManage)最新資安漏洞 CVE-2026-20182 遭到利用,威脅情報團隊 Talos 透露攻擊者的身分是 UAT-8616。不過,在公開上述漏洞如何遭到利用的同時,Talos 也透露有人試圖利用其他已知漏洞攻擊思科 SD-WAN 設備的情況。
Talos 從今年 3 月至 4 月,掌握一系列有別於 UAT-8616 的駭客團體,利用今年 2 月下旬修補的任意檔案覆寫漏洞 CVE-2026-20122、權限提升漏洞 CVE-2026-20126,以及資訊洩露漏洞CVE-2026-20133(CVSS 風險值為 7.1、7.8、7.5),攻擊尚未修補的思科 SD-WAN 系統,Talos一共看到 10 波攻擊活動,共通點是駭客透過公開的概念驗證程式碼(PoC)利用上述漏洞。得逞後他們就對 SD-WAN 系統部署 web shell,並執行 bash 指令。在大部分的漏洞利用活動裡,駭客都是使用與前述概念驗證程式碼搭配的 JSP web shell,Talos 將其命名為 XenShell,但也有部署其他作案工具的情況,其中包括 Godzilla、Behinder、AdaptixC2、Sliver,此外駭客也試圖植入挖礦軟體 XMRig、隧道工具 Gsocket,以及竊資軟體。
雖然上述 3 項漏洞僅被評為高風險等級,不過 Talos 強調,一旦被串連利用,攻擊者就能在未經身分驗證的情況下,取得 SD-WAN 的存取權限,因此他們強烈呼籲用戶要儘速套用更新軟體。
影響平台:
受此漏洞影響的版本包含:
Catalyst SD-WAN Controller。
Catalyst SD-WAN Manager(原名 SD-WAN vSmart、SD-WAN vManage)。
建議措施:
Talos 強調,一旦被串連利用,攻擊者就能在未經身分驗證的情況下,取得 SD-WAN 的存取權限,因此他們強烈呼籲用戶要儘速套用更新軟體。
Cisco Catalyst SD-WAN 用戶立即升級至修補版本:
20.9 版本升級至 20.9.8.2 或更新版本
20.111 版本升級至 20.12.6.1 或更新版本
20.111 版本升級至 20.12.6.1 或更新版本
20.12 版本升級至 20.12.5.3、20.12.6.1 或更新版本
20.13 版本升級至 20.15.4.2 或更新版本
20.14 版本升級至 20.15.4.2 或更新版本
20.15 版本升級至 20.15.4.2 或更新版本
20.16 版本升級至 20.18.2.1 或更新版本
20.18 版本升級至 20.18.2.1 或更新版本
參考連結 :