Công ty an ninh mạng WatchTowr báo cáo rằng một lỗ hổng bảo mật mới của Cisco Catalyst SD-WAN - ban đầu khai thác như một lỗ hổng zero-day, hiện đang được các tác nhân đe dọa sử dụng thường xuyên hơn.
Thực tế, bốn lỗ hổng trên Cisco Catalyst SD-WAN đã được phát hiện trong thời gian gần đây. Một trong số đó là CVE-2026-20127, đã bị khai thác như một lỗ hổng zero-day khi kết hợp với một lỗ hổng trước đó là CVE-2022-20775 nhằm vượt qua xác thực, leo thang đặc quyền và thiết lập quyền truy cập lâu dài trên hệ thống.
Cisco Talos đã liên kết các cuộc tấn công này với UAT-8616, một nhóm tin tặc tinh vi có nguồn gốc và động cơ chưa được xác định, hoạt động ít nhất từ năm 2023.
Ryan Dewhurst, người đứng đầu bộ phận tình báo mối đe dọa chủ động của WatchTowr, cho biết tốc độ khai thác lỗ hổng CVE-2026-20127 đã leo thang nhanh chóng. “Đây không còn là hoạt động nhắm mục tiêu như đã mô tả trước đây nữa, mà giờ đây lan rộng trên toàn mạng Internet và có xu hướng ngày càng gia tăng”, Dewhurst nói.
Dewhurst giải thích, watchTowr phát hiện các nỗ lực khai thác từ nhiều địa chỉ IP khác nhau và quan sát thấy các tác nhân đe dọa triển khai webshell. Hoạt động tăng mạnh nhất xảy ra vào ngày 4/3, với các cuộc tấn công lan rộng khắp nhiều khu vực trên toàn thế giới. Đáng chú ý, tại Mỹ ghi nhận hoạt động cao hơn một chút so với những quốc gia khác.
Chuyên gia này cảnh báo: “Chúng tôi dự đoán hoạt động này sẽ tiếp tục diễn ra như một phần của quá trình khai thác kéo dài điển hình”. Ông nhận định, với việc khai thác hàng loạt và mang tính cơ hội, bất kỳ hệ thống có điểm yếu nên chú trọng tăng cường công tác giám sát và các biện pháp bảo vệ chặt chẽ hơn.
Mới đây, Cisco đã cập nhật thông báo ngày 25/02 để thông báo cho khách hàng về việc khai thác hai lỗ hổng bảo mật mới của Catalyst SD-WAN, có thể bị kẻ tấn công đã xác thực lợi dụng để leo thang đặc quyền, bao gồm CVE-2026-20128 và CVE-2026-20122.
Công ty chưa chia sẻ bất kỳ chi tiết nào về các cuộc tấn công khai thác những lỗ hổng này, nhưng mô tả của họ cho thấy chúng được kết hợp với các lỗ hổng khác.
Hiện chưa rõ liệu cùng một nhóm tin tặc có đứng sau tất cả các chiến dịch nhắm vào các lỗ hổng bảo mật của Catalyst SD-WAN hay không. Vừa qua, Cisco cũng lên tiếng cảnh báo một lỗ hổng zero-day trong thiết bị Secure Email Gateway đã bị tin tặc Trung Quốc khai thác, nhưng một lần nữa, vẫn chưa rõ liệu các cuộc tấn công này có liên quan đến nhau hay không.