今年2月修補的思科SD-WAN系統高風險漏洞，已有多組人馬用於實際攻擊

Talos從今年3月至4月，掌握一系列有別於UAT-8616的駭客團體，利用今年2月下旬修補的任意檔案覆寫漏洞CVE-2026-20122、權限提升漏洞CVE-2026-20126，以及資訊洩露漏洞CVE-2026-20133（CVSS風險值為7.1、7.8、7.5），攻擊尚未修補的思科SD-WAN系統，Talos一共看到10波攻擊活動共通點是駭客透過公開的概念驗證程式碼（PoC）利用上述漏洞。得逞後他們就對SD-WAN系統部署web shell，並執行bash指令。在大部分的漏洞利用活動裡，駭客都是使用與前述概念驗證程式碼搭配的JSP web shell，Talos將其命名為XenShell，但也有部署其他作案工具的情況，其中包括Godzilla、Behinder、AdaptixC2、Sliver，此外駭客也試圖植入挖礦軟體XMRig、隧道工具Gsocket，以及竊資軟體。

雖然上述3項漏洞僅被評為高風險等級，不過Talos強調，一旦被串連利用，攻擊者就能在未經身分驗證的情況下，取得SD-WAN的存取權限，因此他們強烈呼籲用戶要儘速套用更新軟體。