L’alleanza dei Five Eyes, il patto intelligence che unisce Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda, ha emesso un avviso urgente riguardante due vulnerabilità nei dispositivi Cisco Catalyst SD-WAN, già sfruttate attivamente da attori malevoli di origine non specificata. Il primo segnale è arrivato dall’Australian Signals Directorate, che ha identificato le attività sospette prima che tutte e cinque le agenzie co-firmassero l’allerta.

L’obiettivo degli attaccanti è compromettere i dispositivi SD-WAN per aggiungere un peer malevolo non autorizzato, scalare i privilegi fino a ottenere accesso root e garantirsi una presenza persistente nelle reti delle organizzazioni colpite. L’NCSC britannico ha confermato che i target sono distribuiti a livello globale e non ha quindi circoscritto la minaccia a una regione geografica specifica, tanto che due giorni fa anche il CSIRT italiano ha pubblicato un aggiornamento sulla situazione.

Le due vulnerabilità al centro dell’allarme hanno profili molto diversi tra loro, ma sembrano essere state usate in tandem con una logica precisa. La prima, CVE-2022-20775, è una falla di path traversal nella command line interface dell’SD-WAN, resa nota già nel settembre 2022 con un punteggio CVSS di 7.8 e classificata come vettore di privilege escalation. Non è una novità assoluta, ma la sua longevità operativa dice qualcosa di eloquente sullo stato della gestione delle patch in molte organizzazioni.

La seconda vulnerabilità è ben più allarmante. La CVE-2026-20127, fresca di questa settimana, è infatti classificata come improper authentication flaw con un punteggio CVSS perfetto di 10.0, il massimo assoluto della scala. Colpisce sia Cisco Catalyst SD-WAN Controller (ex vSmart), sia Cisco Catalyst SD-WAN Manager (ex vManage), e uno sfruttamento riuscito garantisce all’attaccante diritti amministrativi completi. Cisco ha specificato che chi riesce ad abusare di questa falla può accedere anche a NETCONF e riconfigurare l’intera architettura SD-WAN secondo le proprie necessità, trasformando di fatto l’infrastruttura di rete della vittima in uno strumento controllato dall’esterno.

Vulnerabilità Cisco Catalyst

La vulnerabilità CVE-2026-20127

Secondo Cisco Talos, le due vulnerabilità non sono state usate in modo indipendente. La CVE-2026-20127 viene sfruttata per prima per ottenere i diritti amministrativi, dopodiché gli attaccanti procedono a effettuare il downgrade della versione software del dispositivo attraverso la CVE-2022-20775, operazione che apre la strada all’accesso root completo. Si tratta di una catena di exploit che rivela pianificazione, conoscenza approfondita dei sistemi target e capacità tecniche tutt’altro che ordinarie.

Talos ha attribuito questi attacchi a un gruppo tracciato internamente come UAT-8616 e descritto come un attore altamente sofisticato, indicando che lo sfruttamento di CVE-2026-20127 sarebbe in corso almeno dal 2023; ciò significa che una vulnerabilità formalmente divulgata questa settimana potrebbe essere stata weaponizzata in silenzio per oltre due anni. Non sono stati forniti dettagli su nazionalità o affiliazioni del gruppo, ma l’inquadramento nella categoria degli attori che prendono di mira dispositivi di rete perimetrali per penetrare in organizzazioni di alto valore suggerisce un profilo tipicamente associato allo spionaggio statale o para-statale.

Il numero esatto di attacchi già condotti resta non divulgato, così come l’identità delle vittime, ma Talos ha precisato che i target appartengono con ogni probabilità a settori sensibili e ad alto valore strategico.

Sul fronte della risposta, le agenzie dei Five Eyes hanno pubblicato una Hunt Guide dedicata per guidare i difensori nella ricerca di indicatori di compromissione. La raccomandazione è di verificare prima se i propri sistemi siano già stati colpiti, condividere eventuali dati con le autorità competenti e procedere immediatamente all’aggiornamento all’ultima versione disponibile di Cisco Catalyst SD-WAN Controller e Manager. Il CTO del NCSC, Ollie Whitehouse, ha invitato le organizzazioni britanniche a segnalare qualsiasi compromissione all’agenzia e ad applicare gli aggiornamenti del vendor con la massima urgenza.