Хакери отримували root-доступ до Cisco SD-WAN через ланцюжок zero-day-вразливостей
Фахівці компанії Mandiant оприлюднили нові подробиці масштабної кампанії атак на корпоративні мережі, під час якої зловмисники використовували zero-day-вразливість CVE-2026-20245 у системі керування Cisco Catalyst SD-WAN Manager для отримання повного контролю над пристроями. Дослідження показало, що ця вразливість була лише одним із елементів складного ланцюжка компрометації.
За даними Mandiant, атаки починалися з отримання адміністративного доступу до SD-WAN-інфраструктури. Для цього зловмисники використовували раніше невідомі вразливості автентифікації або викрадені сертифікати й облікові дані. Після проникнення вони змінювали стандартний пароль адміністратора, щоб отримати контроль над системою, а потім переходили до експлуатації CVE-2026-20245.
Ключовим елементом атаки було завантаження спеціально сформованого CSV-файлу (так званого evil_tenant.csv). Через недостатню перевірку введених даних система виконувала команди з правами суперкористувача (root). Це дозволяло атакувальникам створити прихований обліковий запис troot, який забезпечував постійний root-доступ до пристрою навіть після зміни адміністративних паролів.
Після закріплення в системі зловмисники викрадали конфігурацію SD-WAN-мережі, що відкривало можливість детально вивчити корпоративну інфраструктуру та потенційно контролювати маршрутизацію трафіку. Особливу увагу дослідники звернули на високий рівень приховування слідів. Після завершення операцій нападники повертали початкові паролі адміністратора, видаляли створені файли, очищували журнали подій і запускали спеціальні скрипти, які перевіряли, чи не залишилося індикаторів компрометації. У результаті системні адміністратори могли тривалий час не підозрювати про успішний злам.
На думку Mandiant, цей інцидент підтверджує зростаючу зацікавленість кіберзлочинців у мережевому обладнанні. Такі пристрої часто не підтримують традиційні засоби виявлення загроз (EDR), але водночас забезпечують доступ до критично важливої інфраструктури підприємства. Отримавши контроль над SD-WAN Manager, зловмисник потенційно може впливати на роботу великої кількості віддалених філій і мережевих вузлів.
Cisco вже випустила оновлення безпеки, які усувають CVE-2026-20245, і рекомендує адміністраторам негайно встановити їх. Крім того, компанія радить перевірити журнали системи на наявність підозрілих завантажень файлів, несанкціонованих змін конфігурації та невідомих облікових записів із привілеями root. Експерти також наголошують на важливості багатофакторної автентифікації, регулярної ротації облікових даних і постійного моніторингу мережевої інфраструктури, щоб ускладнити реалізацію подібних багатоступеневих атак.
Нагадаємо, що 5 червня 2026 року компанія Cisco повідомила про нову zero-day вразливість (CVE-2026-20245) високої критичності в системі Cisco Catalyst SD-WAN Manager (раніше відома як vManage). Вразливість дозволяла атакуючому з мінімальними привілеями надіслати спеціально сформований файл конфігурації, після чого виконати довільні команди і отримати повний контроль над системою (root/admin права).
