yonathanpy/CVE-2026-20127-Cisco-SD-WAN-Preauth-RCE

# CVE-2026-20127-Cisco SD-WAN 预认证远程代码执行 ## 概述 本仓库包含针对 **CVE-2026-20127** 的**概念验证 利用程序**，这是一个影响 **Cisco Catalyst SD-WAN Controller（原 vSmart）** 和 **Cisco Catalyst SD-WAN Manager（原 vManage）** 部署的严重**预认证远程代码执行 (RCE)** 漏洞。 该漏洞允许远程、未经身份验证的攻击者直接与 Cisco SD-WAN 基础设施的管理平面和控制平面组件交互，最终导致 **SD-WAN Fabric 的完全管理权限沦陷**。 根据公开报告和供应商分析，该漏洞**自 2023 年起已在野被积极利用**。Cisco 将利用活动归因于一个被识别为 **UAT-8616** 的复杂威胁集群，该集群利用此漏洞获得了对暴露的 SD-WAN 环境的持久管理访问权限。 由于 Cisco SD-WAN 广泛部署于**企业 WAN 基础设施、服务提供商网络和关键基础设施环境**，成功的利用可能产生**重大的运营和安全影响**，包括完全控制地理分布式网络中的网络编排和路由行为。 本仓库提供该利用程序的**面向研究的实现**，旨在协助**安全研究人员、防御者和网络管理员**了解漏洞机制并改进检测及缓解策略。 ## 漏洞摘要 **CVE ID:** CVE-2026-20127 **受影响平台：** - Cisco Catalyst SD-WAN Controller (vSmart) - Cisco Catalyst SD-WAN Manager (vManage) **漏洞类别：** - 预认证访问控制绕过 - 输入验证不当 - 未经授权的控制平面交互 - 远程代码执行 / 管理权限提升 **影响等级：** 严重 该漏洞源于 SD-WAN 管理基础设施内特定控制平面通信路径的验证不足。通过精心构造与管理接口的恶意交互，攻击者可以在 SD-WAN 控制平面内注册一个恶意 peer 并在无需持有有效凭据的情况下提升权限。 一旦恶意 peer 被控制平面接受，攻击者便获得了与内部管理服务交互并执行特权操作的能力。 ## 现实世界中的利用 安全调查已发现**始于 2023 年的积极利用活动**，目标是暴露的 Cisco SD-WAN 管理端点。 Cisco 将这些攻击归因于 **UAT-8616**，该威胁行为者集群的特征包括： - 高级操作能力 - 针对性的基础设施利用 - 网络控制系统内的持久访问技术 观察到的攻击者行为包括： - 部署恶意控制平面 peer - 对 SD-WAN 管理服务的未授权访问 - 网络配置篡改 - 在 SD-WAN 编排层内建立长期持久性 针对 SD-WAN 基础设施的利用尤为危险，因为编排层的沦陷使得攻击者能够**操控所有连接站点的全局网络**。 ## 攻击能力 成功利用 CVE-2026-20127 可能允许攻击者执行以下操作： ### 恶意控制平面注册 攻击者可以创建并注册一个加入 SD-WAN 管理/控制平面基础设施的**恶意 peer 节点**。一旦被控制器接受，该恶意 peer 即可作为受信任设备与内部组件交互。 ### 认证绕过 该漏洞允许攻击者**完全绕过认证机制**，从而无需有效的管理员凭据。 ### 管理权限提升 通过在初始访问后与内部服务交互，攻击者可以获得 SD-WAN 管理接口的**完全管理权限**。 ### NETCONF 访问 该利用程序使攻击者能够与**暴露在 TCP 端口 830 上的 NETCONF 服务**进行交互，该服务用于网络配置管理。 NETCONF 访问可能允许攻击者： - 获取网络配置数据 - 修改设备策略 - 部署恶意配置更新 ### SD-WAN Fabric 操控 由于 Cisco SD-WAN 使用集中式编排，拥有管理控制权的攻击者可以： - 修改路由策略 - 跨站点重定向流量 - 禁用安全策略 - 注入恶意配置模板 - 造成大规模网络中断 在大型部署中，这实际上提供了**对整个 WAN 基础设施的控制权**。 ## 仓库内容 本仓库包含一个**研究级概念验证实现**，用于演示 CVE-2026-20127 的利用过程。 该 PoC 旨在说明： - SD-WAN 管理平面内的易受攻击交互面 - 恶意 peer 如何被注册 - 认证绕过机制 - 对内部管理服务的访问 该实现专为受控测试环境中的**分析和复现**而设计。 ## 预期用途 本项目适用于： - 安全研究 - 漏洞分析 - 防御性安全测试 - 检测工程 - 红队 / 蓝队训练 - SD-WAN 部署的安全意识教育 它有助于防御者和研究人员更好地理解： - 针对 SD-WAN 基础设施的攻击路径 - 管理流量中的检测机会 - 潜在的监控和缓解策略 ## 测试环境 此利用程序仅应在**受控实验室环境**中执行，例如： - 隔离的虚拟实验室 - 专用测试网络 - 经授权的渗透测试环境 强烈不建议在未经授权的情况下对生产系统进行测试，这可能违反适用法律或政策。 ## 法律免责声明 本仓库及所有相关代码严格仅用于**教育、研究和防御安全目的**。 访问、下载或使用本仓库中的任何材料，即表示您同意以下条件： - 您将仅在自己**拥有**或拥有**明确书面授权**进行测试的系统上使用此代码。 - 您不会使用此代码进行**未授权攻击**、**非法活动**或**恶意操作**。 - 您对因使用或滥用此代码而产生的任何后果承担**全部责任**。 - 作者对因不当使用造成的损害、服务中断、法律后果或其他影响**不承担任何责任**。 在许多司法管辖区，未经许可对系统进行未授权的漏洞利用是违法的。 ## 作者 **ZeroZenX** ## 致谢 感谢调查并披露与 CVE-2026-20127 相关利用活动的安全研究人员和事件响应团队，他们帮助提高了人们对影响 Cisco SD-WAN 基础设施风险的认识。 他们的工作帮助防御者更好地理解针对现代网络编排平台的新兴威胁。

标签：Access Control Bypass, CISA项目, Cisco SD-WAN, CVE-2026-20127, PoC, RCE, RuleLab, UAT-8616, vManage, vSmart, Web报告查看器, 关键基础设施, 协议分析, 广域网, 攻击向量, 暴力破解, 权限提升, 漏洞复现, 编程工具, 网络安全, 网络攻防, 远程代码执行, 逆向工具, 隐私保护, 预认证漏洞