Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào hôm thứ Năm đã thêm một lỗ hổng mới được công bố ảnh hưởng đến Cisco Catalyst SD-WAN Controller vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), yêu cầu các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) phải khắc phục sự cố trước ngày 17 tháng 5 năm 2026.
Lỗ hổng này là một lỗi bỏ qua xác thực (authentication bypass) nghiêm trọng được theo dõi với mã CVE-2026-20182. Nó được xếp hạng 10.0 trên hệ thống chấm điểm CVSS, mức độ nghiêm trọng tối đa.
"Cisco Catalyst SD-WAN Controller và Manager chứa một lỗ hổng bỏ qua xác thực cho phép kẻ tấn công từ xa, không cần xác thực, có thể vượt qua bước xác thực và chiếm quyền quản trị trên hệ thống bị ảnh hưởng," CISA cho biết.
Liên kết với nhóm tấn công UAT-8616
Trong một thông báo riêng biệt, Cisco đã quy kết hoạt động khai thác thực tế lỗ hổng CVE-2026-20182 với độ tin cậy cao cho nhóm UAT-8616, cùng một cụm tấn công đứng sau việc vũ khí hóa CVE-2026-20127 để truy cập trái phép vào các hệ thống SD-WAN.
"UAT-8616 đã thực hiện các hành động sau xâm nhập tương tự sau khi khai thác thành công CVE-2026-20182, giống như những gì đã được quan sát thấy trong quá trình khai thác CVE-2026-20127 bởi cùng một tác nhân đe dọa," Cisco Talos cho biết. "UAT-8616 đã cố gắng thêm các SSH key, sửa đổi cấu hình NETCONF và leo thang đặc quyền lên root."
Các chuyên gia đánh giá rằng cơ sở hạ tầng được UAT-8616 sử dụng để thực hiện các hoạt động khai thác và sau xâm nhập có sự trùng lặp với các mạng Operational Relay Box (ORB). Công ty an ninh mạng này cũng quan sát thấy nhiều cụm đe dọa khác đang khai thác CVE-2026-20133, CVE-2026-20128 và CVE-2026-20122 bắt đầu từ tháng 3 năm 2026.
Ba lỗ hổng này, khi được kết hợp với nhau, có thể cho phép kẻ tấn công từ xa không cần xác thực chiếm quyền truy cập trái phép vào thiết bị. Chúng đã được thêm vào danh mục KEV của CISA vào tháng trước.
Hơn 10 cụm tấn công đang hoạt động
Hoạt động này đã bị phát hiện tận dụng các mã khai thác Proof-of-Concept (PoC) công khai để triển khai web shell trên các hệ thống bị xâm nhập, cho phép kẻ vận hành chạy các lệnh bash tùy ý. Một loại web shell dựa trên JavaServer Pages (JSP) như vậy đã được đặt mật danh là XenShell do sử dụng PoC được phát hành bởi ZeroZenX Labs.
Ít nhất 10 cụm tấn công khác nhau đã được liên kết với việc khai thác ba lỗ hổng này:
- Cluster 1 (Hoạt động ít nhất từ 06/03/2026): Triển khai Godzilla web shell.
- Cluster 2 (Hoạt động ít nhất từ 10/03/2026): Triển khai Behinder web shell.
- Cluster 3 (Hoạt động ít nhất từ 04/03/2026): Triển khai XenShell web shell và một biến thể của Behinder.
- Cluster 4 (Hoạt động ít nhất từ 03/03/2026): Triển khai một biến thể của Godzilla web shell.
- Cluster 5 (Hoạt động ít nhất từ 13/03/2026): Sử dụng malware agent được biên dịch từ framework red teaming AdaptixC2.
- Cluster 6 (Hoạt động ít nhất từ 05/03/2026): Triển khai framework command-and-control (C2) Sliver.
- Cluster 7 (Hoạt động ít nhất từ 25/03/2026): Triển khai trình đào tiền ảo XMRig miner.
- Cluster 8 (Hoạt động ít nhất từ 10/03/2026): Triển khai công cụ ánh xạ tài sản KScan và backdoor dựa trên Nim (có khả năng dựa trên NimPlant) với khả năng thực hiện thao tác tệp, thực thi tệp qua bash và thu thập thông tin hệ thống.
- Cluster 9 (Hoạt động ít nhất từ 17/03/2026): Triển khai XMRig miner và công cụ gsocket để proxy và đào hầm (tunneling).
- Cluster 10 (Hoạt động ít nhất từ 13/03/2026): Triển khai công cụ đánh cắp thông tin xác thực nhằm lấy hashdump của người dùng quản trị, các phân đoạn khóa JSON Web Tokens (JWT) cho xác thực REST API và thông tin xác thực AWS cho vManage.
Cisco khuyến nghị khách hàng tuân thủ các hướng dẫn và đề xuất được nêu trong các thông báo bảo mật cho các lỗ hổng nêu trên để bảo vệ môi trường của họ.
