.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Il 25 febbraio 2026, la U.S. Cybersecurity and Infrastructure Security Agency (CISA) e il National Cyber Security Centre (NCSC) del Regno Unito hanno avvertito che alcune vulnerabilità che interessano i sistemi Cisco software-defined wide-area network (SD-WAN) (CVE-2026-20127 e CVE-2022-20775) sono attivamente sfruttate.
La CVE-2026-20127 può consentire a un attaccante remoto di aggirare l’autenticazione e ottenere privilegi amministrativi sul sistema compromesso. La CVE-2022-20775 potrebbe invece permettere a un attaccante locale autenticato di elevare i propri privilegi.
L’attività è stata collegata a operazioni malevole in corso che prendono di mira reti federali. La minaccia rappresenta un rischio significativo per la sicurezza, considerando il ruolo centrale che le tecnologie SD-WAN svolgono negli ambienti di rete distribuiti. CISA ha emesso una direttiva di emergenza che impone alle agenzie di intervenire immediatamente per ridurre l’esposizione e valutare eventuali compromissioni dei sistemi.
Azioni raccomandate
I ricercatori del Counter Threat Unit™ (CTU) raccomandano a tutte le organizzazioni di identificare eventuali sistemi SD-WAN vulnerabili nei propri ambienti e di applicare le mitigazioni indicate nell’advisory Cisco Talos, ove appropriato.
Protezioni Sophos
SophosLabs ha sviluppato le seguenti regole IPS per rilevare attività associate a queste minacce:
- 65938 - SERVER-OTHER TRUFFLEHUNTER SFVRT-1058 attack attempt
- 65958 - SERVER-OTHER TRUFFLEHUNTER SFVRT-1058 attack attempt