【安全资讯】五眼联盟警告黑客正积极利用思科SD-WAN漏洞

概要：

近日，由美国、英国、澳大利亚等国组成的“五眼”情报联盟发布紧急警报，称高级威胁行为体正在积极利用思科网络设备中的新漏洞。这些漏洞允许攻击者获取系统访问权限、提升至root权限并窃取敏感信息，对全球使用思科SD-WAN解决方案的组织构成了严重威胁，尤其对政府网络系统风险极高。

主要内容：

美国网络安全和基础设施安全局（CISA）发布紧急指令，警告针对思科SD-WAN系统的持续网络攻击活动，并评估认为其对联邦机构构成了“不可接受的风险”。英国国家网络安全中心（NCSC）也确认，全球范围内的组织都已成为攻击目标。涉及的漏洞包括CVE-2026-20127和CVE-2022-20775，这些漏洞已被发现在真实攻击中被利用。

攻击者利用的是一个在2023年底被发现并随后修补的零日漏洞。该漏洞允许攻击者在目标组织的SD-WAN网络管理平面或控制平面中创建一个由攻击者控制的“流氓对等节点”。这个节点会伪装成一个临时的、受信任的SD-WAN组件，从而能够在管理和控制平面内执行受信任的操作。

根据澳大利亚信号局发布的“狩猎指南”，攻击者在获得此级别访问权限后，能够建立长期驻留，包括获取root访问权限，并采取干扰日志记录和其他监控措施来规避检测。思科公司警告称，这些漏洞相互独立，利用其中一个漏洞并不依赖于另一个。

尽管相关机构尚未公开确认幕后黑手的身份，但此次攻击的复杂性、持久性和对关键基础设施的针对性，符合高级持续性威胁（APT）活动的特征。事件凸显了及时修补关键网络设备漏洞以及加强主动威胁狩猎的重要性。