Компания Mandiant, принадлежащая Google, сообщила, что неизвестный злоумышленник эксплуатировал недавно раскрытую уязвимость в Cisco Catalyst SD-WAN как минимум за два месяца до её публичного раскрытия.
Уязвимость получила идентификатор CVE-2026-20245 и оценку 7,8 балла по шкале CVSS. Она позволяет локальному аутентифицированному пользователю выполнять произвольные команды с повышенными привилегиями через специально подготовленный файл. Причиной проблемы стала недостаточная проверка пользовательского ввода.
Ранее в июне Cisco подтвердила факты эксплуатации этой уязвимости. Для успешной атаки злоумышленнику требовались права netadmin в целевой системе.
По данным исследователей Mandiant Честера Снга, Пита Буньякарна и Логесварана Надараджана, атакующий активно применял антифорензические методы для сокрытия своей деятельности. В ходе компрометации он выборочно удалял и восстанавливал системные конфигурационные файлы, которые изменялись во время атаки.
Целью инцидента стал неназванный поставщик телекоммуникационных услуг. Задача злоумышленника заключалась в повышении привилегий уже скомпрометированной учётной записи администратора до полного root-доступа.
Специалисты выявили два отдельных периода несанкционированной активности. Первый продолжался с конца 2025 года до января 2026 года, второй произошёл в марте 2026 года. Пока не установлено, связаны ли эти эпизоды между собой и стоял ли за ними один и тот же злоумышленник.
Во время первой волны атак у жертвы были обнаружены несанкционированные peering-соединения. Предположительно, они использовали одну из двух уязвимостей обхода аутентификации в контроллерах Cisco Catalyst SD-WAN — CVE-2026-20127 или CVE-2026-20182. На тот момент обе уязвимости ещё не были публично известны и использовались как zero-day.
В марте 2026 года была зафиксирована вторая волна вредоносных peering-соединений. На этот раз целью стало устройство с более новой версией программного обеспечения, в которой уже была устранена CVE-2026-20127.
Cisco подтвердила, что CVE-2026-20182 в этой атаке не использовалась. Это позволяет предположить, что злоумышленник, который мог быть как связанным, так и не связанным с предыдущими инцидентами, получил первоначальный доступ благодаря украденным сертификатам, оставшимся после более ранней компрометации того же устройства.
После получения доступа атакующий изменил стандартные административные учётные данные и затем использовал CVE-2026-20245 в качестве zero-day через загрузку вредоносного CSV-файла с именем evil_tenant.csv.
По данным Mandiant, эксплуатация уязвимости позволила повысить привилегии и создать несанкционированную учётную запись troot, обладающую полным root-доступом к системе.
Исследователи также установили, что злоумышленники систематически заметали следы. Они удаляли созданные файлы, отменяли изменения конфигурации и запускали специальные скрипты, проверяющие отсутствие признаков компрометации. Это существенно затрудняло расследование и оценку масштабов атаки.
Главный аналитик группы Google Threat Intelligence Group (GTIG) Остин Ларсен отметил, что после смены стандартного пароля администратора и кражи конфигурации SD-WAN Fabric злоумышленник вернул пароль к исходному значению. Благодаря этому администратор, входящий в систему, мог не заметить никаких признаков взлома.
Затем атакующий получил root-привилегии через загрузку вредоносного CSV-файла, добавил скрытую учётную запись troot в файлы /etc/passwd и /etc/shadow, после чего удалил все следы своей активности и выполнил проверочный скрипт, подтверждающий отсутствие индикаторов компрометации.
В Google подчеркнули, что этот случай подтверждает продолжающуюся тенденцию использования zero-day уязвимостей в пограничных сетевых устройствах, таких как SD-WAN. Подобные системы часто не обладают достаточными средствами телеметрии для глубокого форензического анализа, а успешная компрометация позволяет злоумышленникам получать длительный доступ к внутреннему сетевому трафику.
Технический директор Mandiant Consulting Чарльз Кармакал отметил, что опытные злоумышленники продолжают уделять особое внимание сетевому оборудованию и другим системам, которые не поддерживают EDR-решения изначально.
Источник: HN