Un gruppo hacker ha avuto accesso root alle reti SD-WAN di mezzo mondo per tre anni. Ha creato peer fantasma, manipolato configurazioni, cancellato le prove. E nessuno — nessuno — se n'è accorto. Benvenuti nel più grande fallimento di sicurezza Cisco degli ultimi dieci anni.
CVSS 10.0: il punteggio perfetto (nel senso peggiore)
Partiamo dai numeri, perché sono impietosi. CVE-2026-20127 ha ottenuto un punteggio CVSS di 10.0 su 10.0 — il massimo possibile nella scala di gravità delle vulnerabilità informatiche. Non è un numero da prendere alla leggera: significa che un attaccante remoto, senza credenziali, può ottenere privilegi amministrativi completi semplicemente inviando una richiesta artefatta al sistema.
Il problema risiede nel meccanismo di autenticazione peer di Cisco Catalyst SD-WAN Controller (l'ex vSmart) e SD-WAN Manager (l'ex vManage). In parole povere: il sistema che dovrebbe verificare l'identità dei dispositivi che si collegano alla rete semplicemente non funziona. Non è una falla complessa che richiede condizioni particolari: il meccanismo di autenticazione, stando a Cisco, «non funziona correttamente». Punto.
Tutti i tipi di deployment sono vulnerabili: on-premise, Cisco Hosted SD-WAN Cloud, ambienti managed e perfino quelli FedRAMP — cioè quelli certificati per il governo federale americano. Se la vostra rete usa Cisco SD-WAN, siete nel mucchio.
UAT-8616: il fantasma nella rete
Il bello — o il tragico, a seconda dei punti di vista — è che questa falla non è stata scoperta perché qualche ricercatore ha avuto un'intuizione brillante. È stata trovata perché qualcuno la sfruttava attivamente dal 2023. Tre anni. Millecentoventi giorni circa in cui un attore classificato da Cisco Talos come «altamente sofisticato» ha avuto campo libero nelle infrastrutture di rete di organizzazioni critiche.
L'attore, tracciato come UAT-8616, ha un modus operandi da manuale di spionaggio digitale. La catena d'attacco, ricostruita dai ricercatori di Talos e dall'Australian Signals Directorate, segue cinque fasi chirurgiche: