Уязвимость CVE-2026-20245 (CVSS 7.8) в Cisco Catalyst SD-WAN эксплуатировалась неизвестным злоумышленником как минимум за два месяца до публичного раскрытия, сообщает Mandiant (подразделение Google Cloud). Целью атаки стал телекоммуникационный провайдер: злоумышленник повысил привилегии скомпрометированной учётной записи администратора до полного доступа уровня root, применяя при этом продвинутые методы антифоренсики для сокрытия следов. Организациям, использующим Cisco Catalyst SD-WAN, необходимо немедленно проверить наличие патчей и провести аудит систем на признаки компрометации.
Техническая анатомия уязвимости
CVE-2026-20245 представляет собой уязвимость локального выполнения произвольных команд с повышенными привилегиями. По данным исследователей, причина — недостаточная валидация пользовательского ввода: аутентифицированный атакующий с привилегиями уровня netadmin может загрузить специально сформированный файл, что приводит к выполнению команд с повышенными правами. Cisco подтвердила факт эксплуатации данной уязвимости.
Помимо CVE-2026-20245, в ходе расследования были выявлены ещё две уязвимости обхода аутентификации в контроллерах Cisco Catalyst SD-WAN — CVE-2026-20127 и CVE-2026-20182, которые на момент первой волны атак также были нераскрытыми уязвимостями нулевого дня.
Хронология и цепочка атаки
Mandiant зафиксировала два отдельных периода несанкционированной активности. Связь между ними и принадлежность к одному и тому же актору на данный момент не установлена.
Первая волна: конец 2025 — январь 2026
В ходе первого периода активности жертва столкнулась с несанкционированными пиринговыми соединениями. По оценке Mandiant, для получения первоначального доступа, предположительно, была использована одна из двух уязвимостей обхода аутентификации — CVE-2026-20127 или CVE-2026-20182. Обе на тот момент оставались неизвестными публично.
Вторая волна: март 2026
Вторая волна атак была направлена на устройство с более новой версией программного обеспечения, уже содержащей патч для CVE-2026-20127. Cisco подтвердила, что эти соединения не использовали CVE-2026-20182, что оставляет открытым вопрос о способе первоначального проникновения.
Именно во второй волне была задействована CVE-2026-20245 как уязвимость нулевого дня. Цепочка атаки выглядела следующим образом:
- Злоумышленник изменил стандартные учётные данные администратора
- Загрузил вредоносный CSV-файл (
evil_tenant.csv), эксплуатирующий CVE-2026-20245 - Повысил привилегии и создал скрытую учётную запись
trootс полным доступом root к командной оболочке - Эксфильтровал конфигурацию SD-WAN-фабрики
- Вернул пароль администратора к исходному значению, чтобы легитимный администратор не заметил изменений
Антифоренсика как ключевая характеристика
Отличительной чертой данной кампании стал последовательный и методичный подход к уничтожению следов. По данным исследователей Mandiant — Честера Снга, Пита Бунякарна и Логесварана Надараджана — злоумышленник на протяжении всего вторжения целенаправленно удалял и восстанавливал модифицированные конфигурационные файлы системы.
Конкретные действия по сокрытию включали:
- Удаление всех созданных в ходе атаки файлов
- Откат конфигурационных изменений к исходному состоянию
- Запуск валидационных скриптов для подтверждения отсутствия индикаторов компрометации
- Возврат пароля администратора к первоначальному значению после эксфильтрации данных
Такой уровень операционной безопасности существенно ограничивает возможности защитников по оценке полного масштаба компрометации и свидетельствует о высокой квалификации атакующего.
Стратегический контекст: периферийные устройства как слепая зона
Google подчеркнул, что данный инцидент отражает устойчивую тенденцию: злоумышленники целенаправленно выбирают периферийные сетевые устройства — такие как SD-WAN-контроллеры — в качестве точек закрепления. Причины очевидны: эти системы, как правило, не поддерживают решения класса EDR, обладают ограниченной телеметрией для глубокого форензик-анализа и при этом обеспечивают видимость внутреннего трафика всей сетевой фабрики.
Как отметил Чарльз Кармакал, технический директор Mandiant Consulting, продвинутые злоумышленники продолжают в первую очередь нацеливаться на сетевые устройства и другие системы, которые не поддерживают нативные средства обнаружения и реагирования на конечных точках.
Для телекоммуникационных провайдеров компрометация SD-WAN-инфраструктуры представляет критическую угрозу: получив контроль над контроллером фабрики, атакующий потенциально получает доступ к маршрутизации и видимости трафика между всеми площадками организации.
Рекомендации по реагированию
- Немедленно установите патчи для CVE-2026-20245, CVE-2026-20127 и CVE-2026-20182 на всех затронутых устройствах Cisco Catalyst SD-WAN
- Проверьте учётные записи на устройствах SD-WAN: наличие учётной записи
trootили иных нестандартных записей в/etc/passwdявляется прямым индикатором компрометации - Проведите аудит пиринговых соединений — несанкционированные пиринговые подключения к контроллерам SD-WAN могут указывать на эксплуатацию уязвимостей обхода аутентификации
- Проанализируйте журналы загрузки файлов на предмет CSV-файлов с нетипичными именами (в частности,
evil_tenant.csv) - Смените все учётные данные администраторов SD-WAN, включая сертификаты, особенно если устройства были доступны извне
- Внедрите дополнительный мониторинг периферийных сетевых устройств: сбор и централизованное хранение журналов, контроль целостности конфигурационных файлов, мониторинг изменений в системных учётных записях
Данный инцидент демонстрирует, что периферийные сетевые устройства остаются приоритетной целью для квалифицированных злоумышленников именно из-за дефицита средств мониторинга и обнаружения. Организациям, эксплуатирующим Cisco Catalyst SD-WAN, следует не только установить доступные патчи для трёх указанных CVE, но и провести ретроспективный анализ активности на контроллерах за период с конца 2025 года, уделив особое внимание изменениям учётных записей, нестандартным пиринговым соединениям и модификациям конфигурационных файлов.