آسیبپذیری SD‑WAN با شناسه CVE‑2026‑20182 در کنترلرهای Cisco Catalyst SD‑WAN به مهاجمان اجازه میدهد بدون احراز هویت به یکی از حیاتیترین کامپوننتهای مدیریت شبکه دسترسی پیدا کنند. این آسیبپذیری SD‑WAN که هماکنون بهصورت فعال مورد سوءاستفاده قرار گرفته است، میتواند کنترل کامل زیرساخت شبکه سازمان را در اختیار مهاجمان قرار دهد؛ موضوعی که با توجه به نقش مرکزی کنترلرهای SD‑WAN در معماری شبکه، ریسک امنیتی بسیار بالایی ایجاد میکند. این دومین بار در سال جاری است که یک آسیبپذیری با امتیاز کامل CVSS در سیستمهای کنترل شبکه Cisco مورد سوءاستفاده قرار میگیرد.
شناسایی آسیبپذیری SD‑WAN با بالاترین امتیاز CVSS
به گزارش شرکت امنیتی Rapid7، این ضعف امنیتی از نوع دور زدن احراز هویت (Authentication Bypass) در کنترلرهای Cisco Catalyst Software‑Defined Wide Area Network (SD‑WAN) است.
به دلیل شدت اثرگذاری، این ضعف امنیتی در سیستم CVSS موفق به دریافت امتیاز 10 از 10، یعنی بالاترین سطح ریسک در استاندارد ارزیابی آسیبپذیریها شده است.
به گفته Rapid7، این آسیبپذیری به مهاجمان اجازه میدهد بدون نیاز به احراز هویت، به کنترلر شبکه متصل شده و کنترل یکی از قدرتمندترین ابزارهای مدیریتی در زیرساخت شبکه سازمانی را به دست آورند.
هشدار کارشناسان درباره ریسک آسیبپذیری SD‑WAN
Douglas McKee، مدیر اطلاعات آسیبپذیری در Rapid7، در گزارش خود تأکید کرد که آسیبپذیریها در کامپوننتهای مرکزی شبکه میتوانند منجر به عملیاتهای بسیار مخرب شوند.
به گفته او، کنترلرهای SD‑WAN معمولاً در مرکز مدیریت و اعتماد (trust relationships) در شبکه قرار دارند و بسیاری از سازمانها احتمال نفوذ به این نقطه حیاتی را دستکم میگیرند. همین موضوع باعث میشود آسیبپذیری SD‑WAN به هدفی جذاب برای عملیاتهای جاسوسی سایبری تبدیل شود. با این حال او تأکید میکند که همه آسیبپذیریها لزوماً بلافاصله منجر به سوءاستفاده گسترده در اینترنت نمیشوند.
سوءاستفاده عملی توسط گروه UAT‑8616
با وجود این هشدارها، بررسیهای Cisco Talos نشان میدهد که آسیبپذیری SD‑WAN تقریباً بلافاصله پس از انتشار اطلاعات آن مورد سوءاستفاده قرار گرفته است.
محققان اعلام کردند که یک گروه تهدید پیشرفته با نام UAT‑8616 از این ضعف برای نفوذ به سیستمها استفاده کرده است. این گروه پیشتر نیز در حملات پیچیده علیه زیرساختهای مبتنی بر Cisco مشاهده شده است و بهعنوان یک عامل تهدید سایبری بسیار پیشرفته شناخته میشود.
سابقه آسیبپذیریهای بحرانی در Cisco Catalyst
این نخستین بار در سال جاری نیست که محصولات Cisco Catalyst با یک ضعف امنیتی بسیار جدی مواجه میشوند. Cisco در فوریه 2026، چندین آسیبپذیری را در این پلتفرم اعلام کرد که مهمترین آن CVE‑2026‑20127 بود. این ضعف نیز از نوع دور زدن احراز هویت محسوب میشد و به مهاجمان اجازه میداد بدون احراز هویت وارد کنترلرهای Cisco شوند و به حسابهای با دسترسی سطح بالا دسترسی پیدا کنند.
اگرچه Cisco اعلام کرده بود که تنها تعداد محدودی از سیستمها تحت سوءاستفاده قرار گرفته بودند، اما تحلیلگران Talos بر این باورند که بهرهبرداری از آن ممکن است برای سالها ادامه داشته باشد. در آن زمان نیز گروه UAT‑8616 بهعنوان عامل اصلی این فعالیت شناسایی شد.
جزئیات فنی آسیبپذیری SD‑WAN در کنترلرهای Cisco
بررسیها نشان میدهد مشکل اصلی در آسیبپذیری SD‑WAN به فرآیند اعتبارسنجی برخی کامپوننتهای شبکه مربوط میشود.
در آسیبپذیری قبلی که در فوریه شناسایی شد، کنترلرهای Catalyst در احراز هویت کامپوننتهای SD‑WAN سختگیری کافی نداشتند. در نتیجه مهاجم میتوانست با ارسال یک پیام دستکاریشده خود را بهعنوان یک دستگاه معتبر معرفی کند.
در این آسیبپذیری جدید، کنترلر پیش از احراز هویت اعتبار یک روتر Hub موسوم به vHub که در محیطهای ابری استفاده میشود را بهدرستی بررسی نمیکند. در نتیجه مهاجم میتواند:
- خود را بهعنوان یک vHub معتبر معرفی کند.
- به کنترلر Cisco SD‑WAN متصل شود.
- دسترسی مدیریتی (Administrative Access) دریافت کند.
پس از این مرحله، مهاجم میتواند به پروتکل NETCONF دسترسی پیدا کند؛ پروتکلی که برای مدیریت و تغییر پیکربندیهای شبکه استفاده میشود.
اقدامات مهاجمان پس از نفوذ به سیستم
طبق گزارش Cisco Talos، پس از نفوذ اولیه از طریق این آسیبپذیری SD‑WAN، مهاجمان مجموعهای از اقدامات پس از نفوذ (Post‑Compromise) را انجام دادهاند.
از جمله این فعالیتها میتوان به موارد زیر اشاره کرد:
- افزودن کلیدهای SSH به سیستمهای هدف
- تغییر پیکربندیهای NETCONF
- اجرای تکنیکهای افزایش سطح دسترسی (Privilege Escalation)
- دستیابی به دسترسی Root
در حملات قبلی، این گروه حتی از یک آسیبپذیری قدیمیتر با شناسه CVE‑2022‑20775 نیز استفاده کرده بود تا دسترسی خود را به root افزایش دهد.
احتمال ارتباط با زیرساختهای ORB
اطلاعات زیادی درباره هویت واقعی گروه UAT‑8616 منتشر نشده است. با این حال، برخی نشانهها حاکی از آن است که این گروه ممکن است با شبکههایی موسوم به Operational Relay Box (ORB) همپوشانی داشته باشد.
این نوع زیرساختها معمولاً در عملیاتهای پیشرفته جاسوسی سایبری استفاده میشوند و در برخی موارد به گروههای تهدید مرتبط با چین نسبت داده شدهاند.
راهکارهای کاهش ریسک برای سازمانها
کارشناسان امنیتی توصیه میکنند سازمانهایی که از Cisco SD‑WAN استفاده میکنند، برای جلوگیری از سوءاستفاده از آسیبپذیری SD‑WAN اقدامات زیر را انجام دهند:
- نصب فوری پچ امنیتی Cisco برای CVE‑2026‑20182
- بررسی لاگهای سیستم برای شناسایی فعالیتهای مشکوک
- مانیتورینگ تغییرات در پیکربندی NETCONF
- بررسی کلیدهای SSH اضافهشده در سیستمها
به گفته Jonah Burgess، پژوهشگر ارشد امنیتی Rapid7، نفوذ به یک کنترلر مرکزی میتواند پیامدهای گستردهای داشته باشد، زیرا یک کنترلر آلوده قادر است کل شبکه پوششی (overlay network) سازمان را تحت تأثیر قرار دهد.
با این حال، او تأکید میکند که معماری SD‑WAN ذاتاً امن است و همچنان یکی از راهکارهای مؤثر برای مدیریت شبکههای سازمانی به شمار میرود.
