Mastodon Mastodon Mastodon Mastodon

CVE-2026-20245 в Cisco Catalyst SD-WAN эксплуатировалась как zero-day за два месяца до публичного раскрытия

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Уязвимость CVE-2026-20245 (CVSS 7.8) в Cisco Catalyst SD-WAN эксплуатировалась неизвестным злоумышленником как минимум за два месяца до публичного раскрытия, сообщает Mandiant (подразделение Google Cloud). Целью атаки стал телекоммуникационный провайдер: злоумышленник повысил привилегии скомпрометированной учётной записи администратора до полного доступа уровня root, применяя при этом продвинутые методы антифоренсики для сокрытия следов. Организациям, использующим Cisco Catalyst SD-WAN, необходимо немедленно проверить наличие патчей и провести аудит систем на признаки компрометации.

Техническая анатомия уязвимости

CVE-2026-20245 представляет собой уязвимость локального выполнения произвольных команд с повышенными привилегиями. По данным исследователей, причина — недостаточная валидация пользовательского ввода: аутентифицированный атакующий с привилегиями уровня netadmin может загрузить специально сформированный файл, что приводит к выполнению команд с повышенными правами. Cisco подтвердила факт эксплуатации данной уязвимости.

Помимо CVE-2026-20245, в ходе расследования были выявлены ещё две уязвимости обхода аутентификации в контроллерах Cisco Catalyst SD-WAN — CVE-2026-20127 и CVE-2026-20182, которые на момент первой волны атак также были нераскрытыми уязвимостями нулевого дня.

Хронология и цепочка атаки

Mandiant зафиксировала два отдельных периода несанкционированной активности. Связь между ними и принадлежность к одному и тому же актору на данный момент не установлена.

Первая волна: конец 2025 — январь 2026

В ходе первого периода активности жертва столкнулась с несанкционированными пиринговыми соединениями. По оценке Mandiant, для получения первоначального доступа, предположительно, была использована одна из двух уязвимостей обхода аутентификации — CVE-2026-20127 или CVE-2026-20182. Обе на тот момент оставались неизвестными публично.

Вторая волна: март 2026

Вторая волна атак была направлена на устройство с более новой версией программного обеспечения, уже содержащей патч для CVE-2026-20127. Cisco подтвердила, что эти соединения не использовали CVE-2026-20182, что оставляет открытым вопрос о способе первоначального проникновения.

Именно во второй волне была задействована CVE-2026-20245 как уязвимость нулевого дня. Цепочка атаки выглядела следующим образом:

  1. Злоумышленник изменил стандартные учётные данные администратора
  2. Загрузил вредоносный CSV-файл (evil_tenant.csv), эксплуатирующий CVE-2026-20245
  3. Повысил привилегии и создал скрытую учётную запись troot с полным доступом root к командной оболочке
  4. Эксфильтровал конфигурацию SD-WAN-фабрики
  5. Вернул пароль администратора к исходному значению, чтобы легитимный администратор не заметил изменений

Антифоренсика как ключевая характеристика

Отличительной чертой данной кампании стал последовательный и методичный подход к уничтожению следов. По данным исследователей Mandiant — Честера Снга, Пита Бунякарна и Логесварана Надараджана — злоумышленник на протяжении всего вторжения целенаправленно удалял и восстанавливал модифицированные конфигурационные файлы системы.

Конкретные действия по сокрытию включали:

  • Удаление всех созданных в ходе атаки файлов
  • Откат конфигурационных изменений к исходному состоянию
  • Запуск валидационных скриптов для подтверждения отсутствия индикаторов компрометации
  • Возврат пароля администратора к первоначальному значению после эксфильтрации данных

Такой уровень операционной безопасности существенно ограничивает возможности защитников по оценке полного масштаба компрометации и свидетельствует о высокой квалификации атакующего.

Стратегический контекст: периферийные устройства как слепая зона

Google подчеркнул, что данный инцидент отражает устойчивую тенденцию: злоумышленники целенаправленно выбирают периферийные сетевые устройства — такие как SD-WAN-контроллеры — в качестве точек закрепления. Причины очевидны: эти системы, как правило, не поддерживают решения класса EDR, обладают ограниченной телеметрией для глубокого форензик-анализа и при этом обеспечивают видимость внутреннего трафика всей сетевой фабрики.

Как отметил Чарльз Кармакал, технический директор Mandiant Consulting, продвинутые злоумышленники продолжают в первую очередь нацеливаться на сетевые устройства и другие системы, которые не поддерживают нативные средства обнаружения и реагирования на конечных точках.

Для телекоммуникационных провайдеров компрометация SD-WAN-инфраструктуры представляет критическую угрозу: получив контроль над контроллером фабрики, атакующий потенциально получает доступ к маршрутизации и видимости трафика между всеми площадками организации.

Рекомендации по реагированию

  • Немедленно установите патчи для CVE-2026-20245, CVE-2026-20127 и CVE-2026-20182 на всех затронутых устройствах Cisco Catalyst SD-WAN
  • Проверьте учётные записи на устройствах SD-WAN: наличие учётной записи troot или иных нестандартных записей в /etc/passwd является прямым индикатором компрометации
  • Проведите аудит пиринговых соединений — несанкционированные пиринговые подключения к контроллерам SD-WAN могут указывать на эксплуатацию уязвимостей обхода аутентификации
  • Проанализируйте журналы загрузки файлов на предмет CSV-файлов с нетипичными именами (в частности, evil_tenant.csv)
  • Смените все учётные данные администраторов SD-WAN, включая сертификаты, особенно если устройства были доступны извне
  • Внедрите дополнительный мониторинг периферийных сетевых устройств: сбор и централизованное хранение журналов, контроль целостности конфигурационных файлов, мониторинг изменений в системных учётных записях

Данный инцидент демонстрирует, что периферийные сетевые устройства остаются приоритетной целью для квалифицированных злоумышленников именно из-за дефицита средств мониторинга и обнаружения. Организациям, эксплуатирующим Cisco Catalyst SD-WAN, следует не только установить доступные патчи для трёх указанных CVE, но и провести ретроспективный анализ активности на контроллерах за период с конца 2025 года, уделив особое внимание изменениям учётных записей, нестандартным пиринговым соединениям и модификациям конфигурационных файлов.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.