uat-8616 - RunkIntel

# UAT-8616 ## Visão Geral UAT-8616 e um **cluster de ameaça altamente sofisticado**, rastreado pelo Cisco Talos, que explora vulnerabilidades zero-day no **Cisco Catalyst SD-WAN** desde pelo menos 2023. O grupo foi públicamente identificado em fevereiro de 2026 a partir de investigacoes conjuntas com o ASD-ACSC (Australian Cyber Security Centre), CISA, NSA e parceiros Five Eyes. O grupo demonstra profundo conhecimento da arquitetura SD-WAN para obter acesso root, estabelecer persistência e pivotar dentro de redes corporativas. Notavelmente, opera **100% com técnicas living-off-the-land** (LotL) - nenhum malware customizado foi identificado, o que dificulta a detecção tradicional por IOCs. > [!danger] Classificação: ALTAMENTE SOFISTICADO - Atribuicao Desconhecida > O UAT-8616 nao foi atribuido a nenhum estado-nacao ou grupo conhecido. A designacao "UAT" (Unattributed Threat) do Cisco Talos indica que a origem permanece desconhecida. O nivel de sofisticacao, o uso exclusivo de zero-days, e o foco em infraestrutura de rede critica sugerem um ator com recursos e conhecimento tecnico significativos - possívelmente alinhado a objetivos de estado. A CISA emitiu **Emergency Directive 26-03** para todas as agencias federais, determinando inventario imediato de todos os sistemas SD-WAN expostos. CISA e NSA, juntamente com NCSC do Reino Unido, ACSC da Australia, NCSC da Nova Zelandia e CCCS do Canada (Five Eyes completo), públicaram aviso conjunto em fevereiro de 2026. ## Attack Flow - Exploração SD-WAN ```mermaid graph TB A["🔍 Reconhecimento Scan de SD-WAN expostos na internet"] --> B["💥 Acesso Inicial CVE-2026-20127 CVSS 10.0 Authentication bypass"] B --> C["🔗 Rogue Peer Registro de dispositivo falso no plano NMS"] C --> D["⬇️ Firmware Downgrade CVE-2022-20775 Escalacao para root"] D --> E["🔑 Persistência SSH authorized_keys Contas locais mimicas"] E --> F["🧹 Evasão Limpeza de logs Restore de firmware"] F --> G["🌐 Movimento Lateral NETCONF porta 830 SSH entre SD-WAN"] classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef initial fill:#c0392b,color:#fff,stroke:#922b21 classDef pivot fill:#e67e22,color:#fff,stroke:#d35400 classDef privesc fill:#8e44ad,color:#fff,stroke:#6c3483 classDef persist fill:#27ae60,color:#fff,stroke:#1e8449 classDef evasion fill:#2e86c1,color:#fff,stroke:#1a5276 classDef lateral fill:#d35400,color:#fff,stroke:#ba4a00 class A recon class B initial class C pivot class D privesc class E persist class F evasion class G lateral ``` ## Timeline de Atividade ```mermaid timeline title UAT-8616 - Linha do Tempo 2023 : Inicio das operacoes : Exploração silenciosa do zero-day 2025 : Zero-day identificado internamente : Coordenacao de resposta Five Eyes Fev 2026 : Divulgacao publica : CVE-2026-20127 publicado CVSS 10.0 : CISA Emergency Directive 26-03 : Advisory conjunto Five Eyes ``` ## Campanhas Recentes ### Exploração Global do Cisco Catalyst SD-WAN (2023-2026) Atividade confirmada desde 2023, com exploração ativa da [[cve-2026-20127|CVE-2026-20127]] identificada por agencias Five Eyes. O grupo explorou o zero-day **por pelo menos 3 anos antes da divulgacao pública**, demonstrando capacidade de operação silenciosa prolongada. CVEs da campanha SD-WAN: - [[cve-2026-20127|CVE-2026-20127]] - Authentication bypass no SD-WAN Controller/Manager (CVSS 10.0) - principal vetor - [[cve-2022-20775|CVE-2022-20775]] - Privilege escalation na CLI do Cisco SD-WAN Software (CVSS 7.8) - encadeado para root - [[cve-2026-20122|CVE-2026-20122]] - Arbitrary file overwrite no SD-WAN (ancilary) O grupo focou em alvos de alto valor com SD-WAN exposto a internet, especialmente: - **Agencias governamentais** (FCEB nos EUA - Federal Civilian Executive Branch) - **Industrias criticas** (energia, transporte, manufatura pesada) - **Telecomúnicacoes** (operadoras com backbone SD-WAN) ## Arsenal Tecnico O UAT-8616 e notavel por operar **exclusivamente com técnicas living-off-the-land** - sem malware customizado identificado. ### Ferramentas nativas utilizadas - Protocolo **NETCONF** (porta 830) para configuração de dispositivos SD-WAN downstream - **SSH** para acesso interativo entre componentes do management plane - **Mecanismo de update built-in** do SD-WAN para executar firmware downgrade - Interface web do **SD-WAN Manager** para operações no management plane - Scripts de startup nativos do SD-WAN (modificados para persistência) ### Infraestrutura - Uso de IPs anonimizados e infraestrutura de proxy para ocultar origem - Comúnicacoes criptografadas - Remoção rapida de IOCs após cada sessao ## TTPs Mapeadas no MITRE ATT&CK ### Acesso Inicial - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - Exploração da [[cve-2026-20127|CVE-2026-20127]] para bypass de autenticação e adicao de rogue peer ### Escalacao de Privilegios - [[t1601-002-downgrade-system-image|T1601.002 - Downgrade System Image]] - Downgrade deliberado de firmware para reintroduzir a [[cve-2022-20775|CVE-2022-20775]] exploravel - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - Encadeamento de CVE-2022-20775 após downgrade para acesso root ### Persistência - [[t1098-004-ssh-authorized-keys|T1098.004 - SSH Authorized Keys]] - Adicao de chaves SSH para root e vmanage-admin - [[t1136-001-local-account|T1136.001 - Creaté Account: Local Account]] - Criação de contas locais que imitam contas legitimas existentes - [[t1037-boot-or-logon-initialization-scripts|T1037 - Boot or Logon Initialization Scripts]] - Modificacao de scripts de startup SD-WAN para customizar o ambiente pos-reboot ### Movimento Lateral - [[t1021-004-ssh|T1021.004 - Remote Services: SSH]] - SSH e NETCONF para conectar entre appliances SD-WAN no management plane ### Evasão de Defesas - [[t1070-indicator-removal|T1070 - Indicator Removal]] - Limpeza de /var/log, bash_history, historico de conexoes de rede - [[t1562-006-indicator-blocking|T1562.006 - Indicator Blocking]] - Desativacao de interface de rede usada para syslog externo, impedindo forwarding de logs - Restauracao do firmware para versao original após exploração (ofusca rastros do downgrade) ### Acesso a Credenciais - [[t1078-valid-accounts|T1078 - Valid Accounts]] - Uso de sessoes admin obtidas via authentication bypass e contas locais criadas ## Indicadores de Compromisso (IoCs) > [!warning] IoCs Comportamentais (Alta Confiabilidade) > Nao ha IoCs de malware. Focar em comportamentos analiticos. **Logs de autenticação SSH:** - Entradas em `/var/log/auth.log`: `Accepted publickey for vmanage-admin` de IPs desconhecidos **Artefatos no sistema de arquivos:** - IPs nao reconhecidos na lista de System IPs do SD-WAN Manager WebUI - Arquivo `/fds/data/unreg_devices.txt` com entradas de dispositivos nao autorizados - Downgrades de versao ou reboots inesperados em logs de vdebug **Comportamentos operacionais:** - Adicao de rogue peers ao plano de controle SD-WAN - Criação de contas locais novas que imitam nomes de contas existentes - Entradas nao autorizadas em authorized_keys do root ou admin ## Detecção e Monitoramento > [!tip] Estrategia de Detecção > Como o grupo usa 100% LotL, detecção deve focar em **anomalias comportamentais** e **integridade de configuração**, nao em assinaturas de malware. **Prioridade alta:** - Monitorar eventos de rogue peering no SD-WAN management plane - Alertar para versoes de firmware downgrade e reboots inesperados - Auditar SSH: logins root, modificacoes em authorized_keys - Verificar integridade de logs locais (truncamento e syslog desabilitado sao indicadores) - Revisar scripts de startup para modificacoes nao autorizadas **Regras de detecção:** - SIEM: alertas em `Accepted publickey for vmanage-admin` de novos IPs - Monitorar conexoes na porta 830/TCP (NETCONF) de fontes inesperadas - Verificar `/fds/data/unreg_devices.txt` regularmente ## Relevância para o Brasil e LATAM O UAT-8616 representa ameaça critica ao Brasil. Operadoras de telecomúnicacoes brasileiras que utilizam [[_cisco|Cisco]] SD-WAN como backbone de trafego corporativo (Claro, Oi, Vivo, TIM e outras) estao diretamente expostas. O setor [[financial|financeiro]] - bancos como BB, CEF, Bradesco e Itau que centralizam trafego de filiais via SD-WAN - pode ter toda sua infraestrutura comprometida através de um único exploit. O fato de que a vulnerabilidade foi explorada **3 anos antes da divulgacao pública** sugere que o UAT-8616 pode já estar operacional em infraestrutura brasileira sem detecção. A ausência de malware customizado torna a detecção por soluções tradicionais de endpoint ineficaz - apenas monitoramento de infraestrutura de rede e anomalias comportamentais detectam o grupo. Setores criticos com maior exposicao no Brasil: - [[telecommunications|Telecomúnicacoes]] - backbone SD-WAN de operadoras e ISPs - [[financial|Financeiro]] - bancos com redes SD-WAN de filiais - [[government|Governo]] - ministerios e orgaos federais com SD-WAN - [[energy|Energia]] - usinas e distribuidoras com SD-WAN **Acao recomendada:** Auditar imediatamente todos os Cisco Catalyst SD-WAN Controllers/Managers expostos a internet. Aplicar patches. Encaminhar logs para SIEM externo (o grupo desativa syslog local). ## Mitigação 1. **Patch imediato** - Cisco fornece correcao nas versoes 20.9.8.2, 20.12.6.1, 20.12.5.3, 20.15.4.2, 20.18.2.1. Versoes 20.11, 20.13, 20.14 e 20.16 atingiram End-of-Maintenance e nao recebem patch. 2. **Isolar management plane** - Colocar componentes SD-WAN atras de firewall rigoroso, isolar interfaces VPN 512, restringir IPs de edge devices 3. **Logs externos obrigatorios** - O grupo desativa syslog local - encaminhar todos os logs para SIEM remoto 4. **Negar dispositivos desconhecidos** - Configurar SD-WAN para negar registro de FortiGaté/SD-WAN devices nao autorizados 5. **Substituir certificados** - Substituir certificados self-signed do web UI do SD-WAN Manager 6. **Threat hunting** - Usar o Cisco SD-WAN Threat Hunt Guide (v2.4) públicado pelo Five Eyes ## Referências - [Cisco Talos: UAT-8616 Campaign Analysis](https://blog.talosintelligence.com/uat-8616-sd-wan/) - [The Hacker News: CVE-2026-20127 Exploited Since 2023](https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-CVE-2026-20127.html) - [CISA/NSA/Five Eyes Joint Advisory](https://media.defense.gov/2026/Feb/25/2003880301/-1/-1/0/CSA_Exploitation_of_SD-WAN_Appliances.PDF) - [Cisco SD-WAN Threat Hunt Guide v2.4](https://media.defense.gov/2026/Feb/25/2003880299/-1/-1/0/CISCO_SD-WAN_THREAT_HUNT_GUIDE.PDF) - [BleepingComputer: Cisco SD-WAN Zero-Day](https://www.bleepingcomputer.com/news/security/cisco-flags-more-sd-wan-flaws-as-actively-exploited-in-attacks/)