Netcrook Logo
👤 LOGICFALCON
🗓️ 08 Mar 2026   🌍 North America

“Invasione silenziosa”: le falle di Cisco Catalyst SD-WAN scatenano un assalto informatico globale

Un tempo zero-day mirato, le più recenti vulnerabilità SD-WAN di Cisco stanno ora alimentando un’impennata mondiale di attacchi opportunistici.

È iniziato con una precisione clandestina: una vulnerabilità zero-day annidata nel Catalyst SD-WAN di Cisco è stata silenziosamente trasformata in arma da attori di minaccia d’élite. Ma ciò che era cominciato come incursioni furtive e mirate è ora degenerato in un assalto su scala internet, lasciando innumerevoli organizzazioni a correre ai ripari per difendere le proprie reti da un’ondata di sfruttamento in rapida espansione.

Secondo WatchTowr, una delle principali società di exposure management, il ritmo e la portata degli attacchi che sfruttano CVE-2026-20127 sono aumentati drasticamente. “Non si tratta più di attività mirata... ma ora è su scala internet e in crescita”, ha dichiarato Ryan Dewhurst, responsabile della threat intelligence proattiva di WatchTowr. Il team di Dewhurst ha rilevato tentativi di sfruttamento provenienti da una vasta gamma di indirizzi IP, con aggressori che distribuiscono webshell per ottenere accesso persistente ai dispositivi compromessi.

Inizialmente, lo sfruttamento è stato ricondotto a UAT-8616, un gruppo oscuro e altamente qualificato le cui origini e motivazioni restano poco chiare. Questi attori hanno combinato la nuova falla 2026-20127 con la più vecchia CVE-2022-20775, consentendo loro di aggirare l’autenticazione, aumentare i privilegi e mantenere il controllo all’interno delle reti delle vittime. Tuttavia, ciò che un tempo era appannaggio delle minacce persistenti avanzate è ora il terreno di gioco degli opportunisti: WatchTowr segnala un’impennata di attività, mentre sempre più attori di minaccia si affrettano a sfruttare sistemi non patchati.

Gli attacchi hanno raggiunto un picco il 4 marzo, con un’intensità particolarmente elevata negli Stati Uniti. Da allora Cisco ha aggiornato i propri avvisi per segnalare altre due vulnerabilità - CVE-2026-20128 e CVE-2026-20122 - entrambe abusabili per l’escalation dei privilegi, soprattutto se concatenate con altre falle. La portata esatta e gli attori dietro queste nuove ondate restano nebulosi, ma il messaggio è chiaro: è in corso uno sfruttamento di massa e opportunistico.

Gli esperti di sicurezza avvertono che qualsiasi sistema Cisco Catalyst SD-WAN esposto dovrebbe essere considerato compromesso fino a prova contraria. La situazione è ulteriormente complicata dalle recenti rivelazioni secondo cui hacker legati alla Cina hanno sfruttato zero-day in altri prodotti di sicurezza Cisco, sollevando interrogativi su possibili collegamenti o attività di emulazione.

Con gli aggressori che si muovono rapidamente per capitalizzare ogni finestra disponibile, le organizzazioni sono invitate ad applicare le patch immediatamente, rivedere la propria esposizione e presumere una violazione se vengono rilevati dispositivi vulnerabili. L’era dei colpi mirati e chirurgici potrebbe essere finita - sostituita da una nuova normalità di assalti informatici incessanti e indiscriminati.

In definitiva, la saga di Cisco Catalyst SD-WAN è un monito netto: nel panorama delle minacce di oggi, lo zero-day di ieri è lo sfruttamento di massa di domani. Il confine tra spionaggio mirato e crimine opportunistico sta svanendo - lasciando ai difensori nessun margine per ritardi o compiacenza.

WIKICROOK

  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste ancora una correzione, rendendola estremamente preziosa e pericolosa per gli attaccanti.
  • Escalation dei privilegi: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un normale account utente ai privilegi di amministratore su un sistema o una rete.
  • Webshell: Una webshell è un programma nascosto caricato dagli hacker su un sito web compromesso, che consente loro il controllo remoto e un accesso non autorizzato come una backdoor segreta.
  • Aggiramento dell’autenticazione: L’aggiramento dell’autenticazione è una vulnerabilità che permette agli attaccanti di saltare o ingannare il processo di login, ottenendo accesso ai sistemi senza credenziali valide.
  • Concatenazione di vulnerabilità: La concatenazione di vulnerabilità significa usare insieme più falle di sicurezza, consentendo agli attaccanti di lanciare cyberattacchi più efficaci e dannosi rispetto allo sfruttamento di un singolo problema.
Cisco SD-WAN Cyber Attacks Zero-Day Vulnerability
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news