正当网络管理员以为思科SD-WAN补丁队列可能终于在缩短时，思科确认恶意攻击者正在利用其SD-WAN管理软件中的更多漏洞。

新被滥用的缺陷影响思科Catalyst SD-WAN Manager，该平台以前被称为vManage，位于许多组织SD-WAN部署的中心。

其中一个漏洞CVE-2026-20122的CVSS评分为7.1，允许经过身份验证的远程攻击者覆盖本地文件系统上的任意文件。第二个问题CVE-2026-20128是一个评级较低的信息泄露缺陷，CVSS评分为5.5，可能允许经过身份验证的本地攻击者在受影响的系统上获得数据收集代理（DCA）用户权限。

在本周发布的安全公告中，思科确认攻击者已经在滥用这些缺陷："2026年3月，思科PSIRT得知CVE-2026-20128和CVE-2026-20122中描述的漏洞正在被主动利用。"

与此类通知的惯例一样，思科几乎没有提供关于缺陷如何被利用或攻击背后是谁的详细信息。该公司也拒绝说明这种活动是否与其几天前警告的网络犯罪分子有关。

思科补充说："思科强烈建议客户升级到已修复的软件版本来修复这些漏洞。"

这一警告发布的时间仅仅是五眼联盟政府警告攻击者正在使用两个不同漏洞主动针对思科Catalyst SD-WAN基础设施一周之后。

其中一个是CVE-2022-20775，这是一个影响SD-WAN命令行界面的路径遍历缺陷，可能导致权限提升，另一个是CVE-2026-20127，这是一个影响Catalyst SD-WAN控制器和管理器平台的最大严重性身份验证问题。

当时，英国国家网络安全中心表示，恶意分子正在入侵全球组织使用的SD-WAN部署。

该机构表示："恶意网络威胁行为者正在针对全球组织使用的思科Catalyst SD-WAN。这些行为者正在入侵SD-WAN以添加恶意的流氓对等体，然后进行一系列后续操作以获得根访问权限并维持对SD-WAN的持续访问。"

据思科Talos称，后者的利用与该公司追踪的UAT-8616组织有关，该公司将其描述为"高度复杂的网络威胁行为者"。Talos表示，现有证据表明该漏洞可能自2023年以来就一直在被利用，尽管它没有将此活动归因于任何特定国家。

新确认的漏洞利用是否与该攻击活动有关仍不清楚。思科只是说两个新披露的漏洞目前正在被利用，但没有提供入侵指标、攻击细节或归因。

然而，对于运行思科SD-WAN设备的防御者来说，正在遭受攻击的漏洞列表刚刚变得更长，补丁窗口也变得更加紧迫。

Q&A

Q1：CVE-2026-20122和CVE-2026-20128这两个漏洞有什么危害？

A：CVE-2026-20122评分7.1，允许经过身份验证的远程攻击者覆盖本地文件系统上的任意文件。CVE-2026-20128评分5.5，可能允许经过身份验证的本地攻击者获得数据收集代理用户权限。

Q2：思科Catalyst SD-WAN Manager是什么平台？

A：思科Catalyst SD-WAN Manager是思科的SD-WAN管理软件，以前被称为vManage，位于许多组织SD-WAN部署的中心，用于管理和控制SD-WAN网络。

Q3：UAT-8616是什么组织？它与这些漏洞有什么关系？

A：UAT-8616是思科Talos追踪的一个"高度复杂的网络威胁行为者"组织。该组织与CVE-2026-20127漏洞的利用有关，可能自2023年以来就一直在利用该漏洞进行攻击。