Nuova vulnerabilità zero-day di Cisco sfruttata attivamente: gruppo di minaccia persistente colpisce SD-WAN

Un gruppo di minaccia persistente sta sfruttando attivamente una vulnerabilità zero-day di gravità massima in Cisco Catalyst SD-WAN Controller e Manager, mettendo a rischio milioni di utenti. Secondo un advisory pubblicato da Cisco giovedì, gli attacchi, finora limitati ma in corso, sarebbero collegati a una serie di vulnerabilità già note nei firewall e nei sistemi SD-WAN del vendor.

Dettagli della vulnerabilità critica

La vulnerabilità, identificata come CVE-2026-20182 e con un punteggio CVSS di 10, consente a un attaccante di bypassare l'autenticazione e ottenere i privilegi amministrativi più elevati. Douglas McKee, direttore dell'intelligence sulle vulnerabilità di Rapid7, ha spiegato che l'exploit funziona come una "chiave universale":

«Un attaccante può presentarsi al controller come un router di rete trusted. Se il sistema accetta la richiesta senza una corretta validazione, l'attaccante ottiene l'accesso amministrativo completo. È la versione cybersecurity di un trucco mentale alla Jedi».

Rapid7 ha scoperto e segnalato la vulnerabilità a Cisco lo scorso 9 marzo. Il vendor ha confermato di essere venuto a conoscenza di exploit limitati già all'inizio di questo mese, ma non ha fornito dettagli sulle attività durante il periodo intercorso tra la segnalazione e la pubblicazione della patch.

Risposta di Cisco e interventi di CISA

Cisco ha rilasciato una patch per CVE-2026-20182 giovedì, mentre la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto la vulnerabilità al suo catalogo delle vulnerabilità sfruttate attivamente. Nonostante ciò, gli attacchi continuano, come confermato dalla stessa Cisco, che ha descritto l'exploit come in corso.

Il vendor ha esortato i clienti ad applicare immediatamente le patch disponibili e a seguire le linee guida fornite nei suoi advisory e nel blog di Cisco Talos. Tuttavia, la società non ha risposto alle domande sulle origini o sulle motivazioni del gruppo di minaccia, noto come UAT-8616.

Gruppo UAT-8616: un nemico storico

Secondo i ricercatori di Cisco Talos, UAT-8616 è lo stesso gruppo responsabile dell'exploit di due vulnerabilità zero-day nei software di edge networking di Cisco, attività che si protrae da almeno tre anni. Questi attacchi sono stati scoperti e segnalati solo a febbraio di quest'anno.

I ricercatori hanno inoltre avvertito che UAT-8616, insieme ad almeno altri dieci gruppi di minaccia, sta sfruttando attivamente tre vulnerabilità non patchate in Cisco Catalyst SD-WAN Infrastructure. Cisco aveva già pubblicato patch per queste vulnerabilità — CVE-2026-20122, CVE-2026-20128 e CVE-2026-20133 — a febbraio.

Scoperta e ritardi nella disclosure

Rapid7 ha individuato la vulnerabilità CVE-2026-20182 durante le indagini su CVE-2026-20127, un'altra vulnerabilità zero-day già sfruttata da UAT-8616 e confermata come attivamente exploitata dalle agenzie Five Eyes alla fine del 2025. Autorità e Cisco hanno atteso almeno due mesi prima di rendere pubblica la vulnerabilità e rilasciare una patch, oltre a fornire indicazioni di mitigazione d'emergenza.

Questo episodio rappresenta il secondo caso di sfruttamento attivo di vulnerabilità zero-day in Cisco in meno di tre mesi, con la CISA che ha aggiunto sette vulnerabilità relative a SD-WAN e firewall del vendor al suo catalogo delle vulnerabilità sfruttate. Nonostante gli sforzi, Cisco rimane uno dei vendor più presi di mira dagli attaccanti, con una serie di vulnerabilità che continuano a minacciare la sicurezza dei suoi clienti.