Ombra sulla WAN: come una violazione silenziosa zero-day ha costretto i federali a correre ai ripari
Sottotitolo: Una campagna informatica clandestina che sfrutta vulnerabilità di Cisco Catalyst SD-WAN ha innescato una risposta d’emergenza senza precedenti tra le agenzie federali statunitensi.
È iniziato nell’ombra, senza allarmi e con poche tracce: per almeno tre anni, un attore malevolo si è insinuato silenziosamente oltre i cancelli digitali delle reti federali, sfruttando una falla che nessuno sapeva nemmeno esistesse. Ora, mentre emergono i dettagli di una campagna sofisticata che prende di mira i sistemi Cisco Catalyst SD-WAN, il governo degli Stati Uniti ha tirato il freno a mano, emanando una rara Direttiva di Emergenza-ED 26-03-che impone alle agenzie di censire, applicare patch e cercare segnali di compromissione prima che gli aggressori possano radicarsi ancora più a fondo.
Dietro gergo e acronimi, la storia è netta: CVE-2026-20127, una vulnerabilità critica di bypass dell’autenticazione, ha permesso ad attaccanti remoti di impersonare amministratori sui controller Catalyst SD-WAN di Cisco. Da lì, hanno sfruttato una seconda falla, più vecchia (CVE-2022-20775), per elevare i privilegi fino all’onnipotente utente root. Gli attaccanti-tracciati come UAT-8616 ma ancora non identificati-hanno aggiunto dispositivi canaglia alle WAN federali, ottenendo la capacità di manipolare a piacimento rotte di rete, policy e connessioni.
Per anni, questa campagna è rimasta inosservata. Secondo Cisco Talos e una coalizione di agenzie di intelligence, gli attaccanti hanno sfruttato gli stessi meccanismi di aggiornamento della SD-WAN, effettuando downgrade del software a versioni vulnerabili e poi ripristinandolo-lasciando poche prove. Nessuna richiesta di riscatto plateale, nessun malware rumoroso. Al contrario, il tratto distintivo dell’attore era furtività e persistenza, operando esclusivamente all’interno dell’ambiente SD-WAN, senza segni di un più ampio movimento laterale.
La violazione ha costretto la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ad agire in fretta. Con ED 26-03, le agenzie devono identificare ogni sistema SD-WAN interessato, raccogliere evidenze forensi, distribuire le patch e setacciare i log alla ricerca di segnali di compromissione-correndo contro scadenze imminenti. Le raccomandazioni di hardening sono severe: isolare le interfacce di gestione, imporre timeout di sessione brevi, sostituire i certificati predefiniti, abilitare una crittografia robusta e centralizzare il monitoraggio. I sistemi esposti devono essere rimossi dalla rete pubblica, e tutti i peer sconosciuti investigati.
La portata della risposta dice molto. Il direttore ad interim della CISA ha avvertito che nemmeno un shutdown del governo può mettere in pausa la cybersecurity in prima linea, soprattutto quando gli avversari sfruttano il caos a proprio vantaggio. L’urgenza della direttiva riflette il rischio: attaccanti con il controllo della SD-WAN possono reindirizzare il traffico, intercettare dati e potenzialmente fare pivot verso obiettivi più sensibili, anche se, questa volta, sono rimasti entro i confini della WAN.
Gli esperti dicono che questo incidente è un campanello d’allarme per ogni organizzazione che si affida a dispositivi di rete complessi. “Il control plane è il gioiello della corona”, ha osservato un architetto della sicurezza. “Se possiedi il cervello della WAN, possiedi la connettività dell’organizzazione-e i suoi segreti.”
La caccia continua, e il mistero delle vere motivazioni di UAT-8616 resiste. Ma un fatto è chiaro: nell’era degli zero-day silenziosi, l’infrastruttura di rete è la nuova prima linea-e la vigilanza, non la compiacenza, è l’unica difesa.
WIKICROOK
- Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste ancora una correzione, rendendola estremamente preziosa e pericolosa per gli attaccanti.
- SD: SD significa Secure Development, ovvero l’integrazione di pratiche di sicurezza lungo tutto il processo di creazione del software per ridurre le vulnerabilità e rafforzare la protezione delle applicazioni.
- Bypass dell’autenticazione: Il bypass dell’autenticazione è una vulnerabilità che consente agli attaccanti di saltare o ingannare il processo di login, ottenendo accesso ai sistemi senza credenziali valide.
- Escalation dei privilegi: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un account utente normale ai privilegi di amministratore su un sistema o una rete.
- Artefatto forense: Gli artefatti forensi sono dati raccolti dai sistemi digitali, come log o snapshot della memoria, usati per indagare e ricostruire incidenti di cybersecurity.




