Mastodon Mastodon Mastodon Mastodon

Zero-day у Cisco Catalyst SD-WAN: атака на телеком-провайдера

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Вразливість CVE-2026-20245 (CVSS 7.8) у Cisco Catalyst SD-WAN експлуатувалася невідомим зловмисником щонайменше за два місяці до публічного розкриття, повідомляє Mandiant (підрозділ Google Cloud). Ціллю атаки став телекомунікаційний провайдер: зловмисник підвищив привілеї скомпрометованого облікового запису адміністратора до повного доступу рівня root, при цьому застосовуючи просунуті методи антифорензіки для приховування слідів. Організаціям, що використовують Cisco Catalyst SD-WAN, необхідно негайно перевірити наявність патчів і провести аудит систем на ознаки компрометації.

Технічна анатомія вразливості

CVE-2026-20245 є вразливістю локального виконання довільних команд із підвищеними привілеями. За даними дослідників, причина — недостатня валідація користувацького вводу: автентифікований атакувальник з привілеями рівня netadmin може завантажити спеціально сформований файл, що призводить до виконання команд із підвищеними правами. Cisco підтвердила факт експлуатації цієї вразливості.

Окрім CVE-2026-20245, у ході розслідування було виявлено ще дві вразливості обходу автентифікації в контролерах Cisco Catalyst SD-WAN — CVE-2026-20127 та CVE-2026-20182, які на момент першої хвилі атак також були нерозкритими вразливостями нульового дня.

Хронологія та ланцюжок атаки

Mandiant зафіксувала два окремі періоди несанкціонованої активності. Зв’язок між ними та належність до одного й того самого актора наразі не встановлено.

Перша хвиля: кінець 2025 — січень 2026

Упродовж першого періоду активності жертва зіткнулася з несанкціонованими пиринговими з’єднаннями. За оцінкою Mandiant, для отримання початкового доступу, ймовірно, було використано одну з двох вразливостей обходу автентифікації — CVE-2026-20127 або CVE-2026-20182. Обидві на той момент залишалися невідомими публічно.

Друга хвиля: березень 2026

Друга хвиля атак була спрямована на пристрій з новішою версією програмного забезпечення, яка вже містила патч для CVE-2026-20127. Cisco підтвердила, що ці з’єднання не використовували CVE-2026-20182, що залишає відкритим питання щодо способу початкового проникнення.

Саме в другій хвилі було задіяно CVE-2026-20245 як вразливість нульового дня. Ланцюжок атаки виглядав таким чином:

  1. Зловмисник змінив стандартні облікові дані адміністратора
  2. Завантажив шкідливий CSV-файл (evil_tenant.csv), що експлуатує CVE-2026-20245
  3. Підвищив привілеї та створив прихований обліковий запис troot із повним доступом root до командної оболонки
  4. Екфільтрував конфігурацію SD-WAN-фабрики
  5. Повернув пароль адміністратора до початкового значення, щоб легітимний адміністратор не помітив змін

Антифорензіка як ключова характеристика

Відмінною рисою цієї кампанії став послідовний і методичний підхід до знищення слідів. За даними дослідників Mandiant — Честера Снга, Піта Бунякарна та Логесварана Надараджана — зловмисник упродовж усього вторгнення цілеспрямовано видаляв і відновлював модифіковані конфігураційні файли системи.

Конкретні дії з приховування включали:

  • Видалення всіх файлів, створених у ході атаки
  • Відкат конфігураційних змін до початкового стану
  • Запуск валідаційних скриптів для підтвердження відсутності індикаторів компрометації
  • Повернення пароля адміністратора до початкового значення після екфільтрації даних

Такий рівень операційної безпеки суттєво обмежує можливості захисників щодо оцінки повного масштабу компрометації та свідчить про високу кваліфікацію зловмисника.

Стратегічний контекст: периферійні пристрої як сліпа зона

Google підкреслив, що цей інцидент відображає стійку тенденцію: зловмисники цілеспрямовано обирають периферійні мережеві пристрої — такі як SD-WAN-контролери — як точки закріплення. Причини очевидні: ці системи, як правило, не підтримують рішення класу EDR, мають обмежену телеметрію для глибокого форензічного аналізу й водночас забезпечують видимість внутрішнього трафіку всієї мережевої фабрики.

Як зазначив Чарльз Кармакал, технічний директор Mandiant Consulting, просунуті зловмисники й надалі насамперед націлюються на мережеві пристрої та інші системи, які не підтримують вбудовані засоби виявлення та реагування на кінцевих точках.

Для телекомунікаційних провайдерів компрометація SD-WAN-інфраструктури становить критичну загрозу: отримавши контроль над контролером фабрики, зловмисник потенційно отримує доступ до маршрутизації та видимості трафіку між усіма майданчиками організації.

Рекомендації щодо реагування

  • Негайно встановіть патчі для CVE-2026-20245, CVE-2026-20127 і CVE-2026-20182 на всіх задіяних пристроях Cisco Catalyst SD-WAN
  • Перевірте облікові записи на пристроях SD-WAN: наявність облікового запису troot або інших нестандартних записів у /etc/passwd є прямим індикатором компрометації
  • Проведіть аудит пирингових з’єднань — несанкціоновані пирингові підключення до контролерів SD-WAN можуть вказувати на експлуатацію вразливостей обходу автентифікації
  • Проаналізуйте журнали завантаження файлів на предмет CSV-файлів із нетиповими іменами (зокрема, evil_tenant.csv)
  • Змініть усі облікові дані адміністраторів SD-WAN, включно з сертифікатами, особливо якщо пристрої були доступні ззовні
  • Запровадьте додатковий моніторинг периферійних мережевих пристроїв: збирання й централізоване зберігання журналів, контроль цілісності конфігураційних файлів, моніторинг змін у системних облікових записах

Цей інцидент демонструє, що периферійні мережеві пристрої залишаються пріоритетною ціллю для кваліфікованих зловмисників саме через брак засобів моніторингу та виявлення. Організаціям, які експлуатують Cisco Catalyst SD-WAN, слід не лише встановити доступні патчі для трьох зазначених CVE, а й провести ретроспективний аналіз активності на контролерах за період із кінця 2025 року, приділивши особливу увагу змінам облікових записів, нестандартним пиринговим з’єднанням і модифікаціям конфігураційних файлів.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.