全球开源情报共享|打造最先锋的开源情报共享平台
2月26日,美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)发布紧急指令ED 26-03,要求联邦文职行政部门(Federal Civilian Executive Branch,FCEB)各机构在一至两天内完成思科(Cisco)Catalyst SD-WAN设备排查、补丁、日志收集和入侵狩猎。触发这道指令的,是一个评分为10分的零日漏洞CVE-2026-20127,已被高级威胁行为体暗中利用至少三年,用于接管关键网络控制平面。本次事件不仅关乎一次产品漏洞,更直观暴露出美国联邦网络在关键基础设施上对少数供应商的高度集中依赖。
ED 26-03全称为“减轻思科SD-WAN系统漏洞风险紧急指令”,适用于全部联邦文职行政部门机构,性质为具有强制约束力的紧急安全措施。美国网络安全和基础设施安全局认定,围绕思科Catalyst SD-WAN系统的多个漏洞,尤其是零日漏洞CVE-2026-20127以及早前披露的CVE-2022-20775,已经对联邦网络构成“不可接受”的即时风险,因此启动紧急指令程序。
指令的时间表非常紧。2月25日晚间,联邦风险与授权管理计划(FedRAMP)向进入其目录的云服务提供商统一发出通知,要求配合ED 26-03开展排查与上报。对于联邦机构本身,ED 26-03设置了几道明确“时间线”:一是最晚在2月26日完成所有可能受影响的思科SD-WAN系统梳理,并向CISA报送清单,同时确保相关系统将运行日志外发到受保护的日志平台,并收集关键取证快照。二是最晚在2月27日美国东部时间下午5点前,完成思科已发布补丁版本的部署,覆盖指令点名的全部漏洞。三是随后在3月5日前向CISA提交“详细资产与处置情况报告”,说明设备分布、补丁状态和入侵排查结果;3月12日前再提交一份网络加固措施落实情况报告。
云服务环节方面,FedRAMP要求所有在其市场中为联邦机构提供服务、且边界内包含思科SD-WAN系统的云服务商,同样在2月27日东部时间下午5点前完成补丁安装、日志收集与自查,并按统一模板向FedRAMP上传“ED-26-03响应”表格,文件名和内容格式都被细化规定,用于方便各联邦机构调取对比。
在技术要求上,ED 26-03不仅要求“打补丁”,还配套发布了“狩猎与加固”补充指令,要求机构执行更细致的入侵排查。与之同步,CISA携手美国国家安全局(National Security Agency,NSA)、澳大利亚信号局下属澳大利亚网络安全中心(Australian Cyber Security Centre,ACSC)、加拿大网络安全中心、新西兰国家网络安全中心以及英国国家网络安全中心,联合发布了思科SD-WAN威胁狩猎指南,对如何识别可疑对等连接、分析日志以及排查持久化痕迹给出了统一方法。
值得注意的是,这一系列紧急动作发生在美国国土安全部资金停摆、部分员工被迫停薪休假的背景下。CISA署理局长在公开表态中强调,即便面临预算和人手压力,该局仍必须利用紧急指令等权力,确保对联邦网络“及时降险”。
本公众号发布信息仅代表原始信源,不作为投资意见、不涉及任何政治导向,内容可能会根据法律法规、政策调整进行修改或删除,请读者遵循法律法规使用公众号内容。
热门跟贴