最近幾週，思科 Catalyst SD-WAN 的四個漏洞被公開利用。其中一個漏洞是 CVE-2026-20127，它與另一個較早的漏洞 CVE-2022-20775 結合使用，作為零日漏洞，繞過身份驗證、提升權限並在系統中建立持久性。

思科 Talos 將這些攻擊與 UAT-8616 連結起來。 UAT-8616 是一個高度複雜的威脅組織，來源和動機不明，至少從 2023 年起就一直活躍。

WatchTowr 的主動威脅情報主管 Ryan Dewhurst 告訴 SecurityWeek，CVE-2026-20127 的利用速度不出所料地迅速加快。

「這不再是之前描述的那種有針對性的攻擊，而是遍及整個互聯網，並且還在不斷擴大，」Dewhurst 說。

「總的來說，watchTowr 的主動威脅情報團隊已經發現來自眾多不同 IP 位址的攻擊嘗試，並觀察到威脅行為者部署了 Web Shell，」他解釋道。 “攻擊活動最高峰出現在 3 月 4 日，攻擊遍及全球多個地區，其中美國地區的攻擊活動略高於其他地區。”

這位專家警告說：“我們預計攻擊活動將持續，這是典型的長尾攻擊的一部分，因為會有更多威脅行為者參與其中。”他補充道：“由於大規模和機會主義攻擊正在發生，任何暴露的系統都應被視為已被入侵，除非有證據表明並非如此。”

思科本週更新了 2 月 25 日發布的安全性公告，告知客戶另外兩個 Catalyst SD-WAN 漏洞已被利用，這兩個漏洞可被已認證的攻擊者用於提升權限：CVE-2026-20128 和 CVE-2026-20122。

該公司尚未透露利用這些漏洞的攻擊的具體細節，但其描述表明這些漏洞與其他漏洞存在關聯。

目前尚不清楚所有針對 Catalyst SD-WAN 漏洞的攻擊活動是否出自同一攻擊者之手。思科近期發出警告，稱其安全電子郵件網關設備中的一個零日漏洞已被與中國有關聯的駭客利用，但同樣，目前尚不清楚這些攻擊之間是否存在任何關聯。