Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Qualcosa non torna quando nei log compare una connessione di peering che nessuno ricorda di aver avviato. È proprio da lì che parte l’allarme: uno sfruttamento attivo legato ai controller Cisco Catalyst SD-WAN.
Secondo quanto osservato da Cisco Talos, un attore molto evoluto sta sfruttando una vulnerabilità capace di saltare l’autenticazione e ottenere privilegi amministrativi. Una richiesta costruita ad hoc basta a entrare nel sistema e muoversi con diritti elevati, anche se non si tratta ancora dell’account root.
Il problema ruota attorno alla CVE-2026-20127, individuata nel controller Cisco Catalyst SD-WAN, in passato noto come vSmart. Un aggressore remoto e non autenticato può aggirare i controlli e ottenere privilegi amministrativi inviando una richiesta manipolata al sistema bersaglio.
Gli analisti hanno collegato questa attività a un cluster identificato come UAT-8616. La cosa curiosa, o inquietante, è che le tracce dell’attività sembrano risalire almeno al 2023. Non proprio ieri.
Le indagini indicano anche un possibile passaggio a root tramite downgrade del software, seguito dallo sfruttamento della CVE-2022-20775 prima di tornare alla versione originale. Una sequenza che, insomma, apre l’accesso completo.
L’evento più delicato da controllare riguarda le connessioni di peering nei log del sistema. Possono sembrare normali, ma a volte arrivano in orari strani o da indirizzi IP inattesi.
Chi gestisce queste infrastrutture dovrebbe verificare tempi, indirizzi pubblici e ruolo dei dispositivi coinvolti nel peering. Per esempio, controllare se l’IP appartiene davvero all’organizzazione o a partner autorizzati. Sembra banale… ma spesso è lì che si scopre qualcosa.
Conviene anche correlare eventi ripetuti dalla stessa origine e confrontarli con attività di autenticazione o modifiche pianificate. A volte è solo manutenzione. A volte no.
Quando un attaccante riesce a entrare davvero, compaiono segnali abbastanza chiari: creazione e cancellazione di account sospetti, sessioni root interattive o chiavi SSH non previste. Alcuni indizi emergono anche da file specifici, come quelli presenti nelle directory legate agli accessi SSH.
Altri segnali riguardano log praticamente vuoti, oppure la cancellazione di cronologie come syslog, bash history e file presenti in var log. Anche downgrade o upgrade di versione non previsti, accompagnati da riavvii del sistema, possono indicare qualcosa di strano.
La ricerca che ha documentato queste attività è stata condotta da Cisco Talos, che ha anche pubblicato indicazioni operative per proteggere ambienti basati su Cisco Catalyst SD-WAN e suggerito di seguire le guide di sicurezza dedicate.
Per la community di Red Hot Cyber, questo episodio è un monito chiaro: i dispositivi di rete, specialmente quelli ai confini dell’infrastruttura, sono spesso la porta d’ingresso più vulnerabile. Aggiornarli costantemente, analizzare i log con cura non è paranoia, ma un atto di disciplina necessaria per proteggere l’intero ecosistema digitale in un mondo digitale cha aumenta giorno dopo giorno la superfice di rischio.
