Вразливість CVE-2026-20245 (CVSS 7.8) у Cisco Catalyst SD-WAN експлуатувалася невідомим зловмисником щонайменше за два місяці до публічного розкриття, повідомляє Mandiant (підрозділ Google Cloud). Ціллю атаки став телекомунікаційний провайдер: зловмисник підвищив привілеї скомпрометованого облікового запису адміністратора до повного доступу рівня root, при цьому застосовуючи просунуті методи антифорензіки для приховування слідів. Організаціям, що використовують Cisco Catalyst SD-WAN, необхідно негайно перевірити наявність патчів і провести аудит систем на ознаки компрометації.
Технічна анатомія вразливості
CVE-2026-20245 є вразливістю локального виконання довільних команд із підвищеними привілеями. За даними дослідників, причина — недостатня валідація користувацького вводу: автентифікований атакувальник з привілеями рівня netadmin може завантажити спеціально сформований файл, що призводить до виконання команд із підвищеними правами. Cisco підтвердила факт експлуатації цієї вразливості.
Окрім CVE-2026-20245, у ході розслідування було виявлено ще дві вразливості обходу автентифікації в контролерах Cisco Catalyst SD-WAN — CVE-2026-20127 та CVE-2026-20182, які на момент першої хвилі атак також були нерозкритими вразливостями нульового дня.
Хронологія та ланцюжок атаки
Mandiant зафіксувала два окремі періоди несанкціонованої активності. Зв’язок між ними та належність до одного й того самого актора наразі не встановлено.
Перша хвиля: кінець 2025 — січень 2026
Упродовж першого періоду активності жертва зіткнулася з несанкціонованими пиринговими з’єднаннями. За оцінкою Mandiant, для отримання початкового доступу, ймовірно, було використано одну з двох вразливостей обходу автентифікації — CVE-2026-20127 або CVE-2026-20182. Обидві на той момент залишалися невідомими публічно.
Друга хвиля: березень 2026
Друга хвиля атак була спрямована на пристрій з новішою версією програмного забезпечення, яка вже містила патч для CVE-2026-20127. Cisco підтвердила, що ці з’єднання не використовували CVE-2026-20182, що залишає відкритим питання щодо способу початкового проникнення.
Саме в другій хвилі було задіяно CVE-2026-20245 як вразливість нульового дня. Ланцюжок атаки виглядав таким чином:
- Зловмисник змінив стандартні облікові дані адміністратора
- Завантажив шкідливий CSV-файл (
evil_tenant.csv), що експлуатує CVE-2026-20245 - Підвищив привілеї та створив прихований обліковий запис
trootіз повним доступом root до командної оболонки - Екфільтрував конфігурацію SD-WAN-фабрики
- Повернув пароль адміністратора до початкового значення, щоб легітимний адміністратор не помітив змін
Антифорензіка як ключова характеристика
Відмінною рисою цієї кампанії став послідовний і методичний підхід до знищення слідів. За даними дослідників Mandiant — Честера Снга, Піта Бунякарна та Логесварана Надараджана — зловмисник упродовж усього вторгнення цілеспрямовано видаляв і відновлював модифіковані конфігураційні файли системи.
Конкретні дії з приховування включали:
- Видалення всіх файлів, створених у ході атаки
- Відкат конфігураційних змін до початкового стану
- Запуск валідаційних скриптів для підтвердження відсутності індикаторів компрометації
- Повернення пароля адміністратора до початкового значення після екфільтрації даних
Такий рівень операційної безпеки суттєво обмежує можливості захисників щодо оцінки повного масштабу компрометації та свідчить про високу кваліфікацію зловмисника.
Стратегічний контекст: периферійні пристрої як сліпа зона
Google підкреслив, що цей інцидент відображає стійку тенденцію: зловмисники цілеспрямовано обирають периферійні мережеві пристрої — такі як SD-WAN-контролери — як точки закріплення. Причини очевидні: ці системи, як правило, не підтримують рішення класу EDR, мають обмежену телеметрію для глибокого форензічного аналізу й водночас забезпечують видимість внутрішнього трафіку всієї мережевої фабрики.
Як зазначив Чарльз Кармакал, технічний директор Mandiant Consulting, просунуті зловмисники й надалі насамперед націлюються на мережеві пристрої та інші системи, які не підтримують вбудовані засоби виявлення та реагування на кінцевих точках.
Для телекомунікаційних провайдерів компрометація SD-WAN-інфраструктури становить критичну загрозу: отримавши контроль над контролером фабрики, зловмисник потенційно отримує доступ до маршрутизації та видимості трафіку між усіма майданчиками організації.
Рекомендації щодо реагування
- Негайно встановіть патчі для CVE-2026-20245, CVE-2026-20127 і CVE-2026-20182 на всіх задіяних пристроях Cisco Catalyst SD-WAN
- Перевірте облікові записи на пристроях SD-WAN: наявність облікового запису
trootабо інших нестандартних записів у/etc/passwdє прямим індикатором компрометації - Проведіть аудит пирингових з’єднань — несанкціоновані пирингові підключення до контролерів SD-WAN можуть вказувати на експлуатацію вразливостей обходу автентифікації
- Проаналізуйте журнали завантаження файлів на предмет CSV-файлів із нетиповими іменами (зокрема,
evil_tenant.csv) - Змініть усі облікові дані адміністраторів SD-WAN, включно з сертифікатами, особливо якщо пристрої були доступні ззовні
- Запровадьте додатковий моніторинг периферійних мережевих пристроїв: збирання й централізоване зберігання журналів, контроль цілісності конфігураційних файлів, моніторинг змін у системних облікових записах
Цей інцидент демонструє, що периферійні мережеві пристрої залишаються пріоритетною ціллю для кваліфікованих зловмисників саме через брак засобів моніторингу та виявлення. Організаціям, які експлуатують Cisco Catalyst SD-WAN, слід не лише встановити доступні патчі для трьох зазначених CVE, а й провести ретроспективний аналіз активності на контролерах за період із кінця 2025 року, приділивши особливу увагу змінам облікових записів, нестандартним пиринговим з’єднанням і модифікаціям конфігураційних файлів.