Пријави инцидент
Пријави инцидент

Zero-Day ранливост во Cisco Catalyst SD-WAN (CVE-2026-20245) искористена за добивање root пристап

Објавено: 25.06.2026

Непознат актер за сајбер-закани искористил неодамна објавена високоризична безбедносна ранливост во Cisco Catalyst SD-WAN како zero-day најмалку два месеци пред нејзиното јавно објавување, според новите наоди на Mandiant, компанија во сопственост на Google.

Ранливоста, означена како CVE-2026-20245 (CVSS оценка: 7.8), му овозможува на автентициран локален напаѓач да извршува произволни команди со зголемени привилегии преку доставување специјално подготвена датотека до засегнатиот систем. Проблемот произлегува од недоволна валидација на кориснички внесени податоци.

Претходно овој месец, Cisco потврди дека е запознаен со активна експлоатација на оваа ранливост. За успешен напад, злонамерниот актер мора да поседува netadmin привилегии на компромитираниот систем.

Според истражувачите на Mandiant – Chester Sng, Pete Boonyakarn и Logeswaran Nadarajan – напаѓачот користел антифорензички техники за да избегне детекција. За време на упадот, селективно бришел и враќал системски конфигурациски датотеки кои биле изменети во текот на активностите.

Цел на нападот бил неименуван давател на комуникациски услуги, каде компромитирана администраторска сметка била ескалирана до целосен root пристап.

Две одделни фази на нападот

Истражувачите идентификувале два периода на неовластена активност:

  • Од крајот на 2025 година до јануари 2026 година.
  • Во март 2026 година.

Во моментов не е познато дали двата инциденти се поврзани и дали се дело на ист напаѓач.

За време на првата фаза, жртвата искусила неовластени peering конекции кои најверојатно ја искористиле една од двете ранливости за заобиколување на автентикацијата во Cisco Catalyst SD-WAN контролерите:

  • CVE-2026-20127
  • CVE-2026-20182

Во тоа време и двете ранливости биле непознати zero-day пропусти.

Во март 2026 година следувал втор бран на злонамерни peering конекции насочени кон уред со понова верзија на софтверот, која веќе била закрпена против CVE-2026-20127. Cisco потврди дека нападот не ја користел CVE-2026-20182, што отвора можност напаѓачот да употребил украдени сертификати од претходен компромис на истиот уред за да добие почетен пристап.

Злоупотреба преку злонамерна CSV датотека

Според Mandiant:

Напаѓачот ги променил стандардните администраторски лозинки пред да ја искористи CVE-2026-20245 како zero-day преку злонамерно CSV-прикачување наречено „evil_tenant.csv“.

Експлоатацијата овозможила:

  • Ескалација на привилегии до root ниво.
  • Креирање на скриена корисничка сметка наречена troot.
  • Целосна контрола врз системската школка (shell).

Покривање на трагите

Напаѓачите систематски ги бришеле сите докази за својата активност:

  • Ги бришеле креираните датотеки.
  • Ги враќале променетите конфигурации во првобитна состојба.
  • Извршувале скрипти за проверка дали сите индикатори за компромитација се отстранети.

Според Austin Larsen од Google Threat Intelligence Group (GTIG):

По промената на стандардната администраторска лозинка и извлекувањето на SD-WAN конфигурацијата, напаѓачот ја вратил лозинката на оригиналната вредност за администраторот да не забележи ништо сомнително.

Потоа преку злонамерниот CSV фајл добил root пристап, креирал скриена сметка „troot“ во датотеките /etc/passwd и /etc/shadow, ги избришал сите изменети датотеки и извршил проверка за да потврди дека не оставил траги.

Загрижувачки тренд

Google истакна дека овој случај повторно го потврдува растечкиот тренд на злоупотреба на zero-day ранливости во edge уреди, како што се SD-WAN системите.

Таквите уреди често:

  • Немаат напредни EDR (Endpoint Detection and Response) решенија.
  • Обезбедуваат ограничена телеметрија за форензичка анализа.
  • Можат да обезбедат долготраен увид во внатрешниот мрежен сообраќај доколку бидат компромитирани.

Според Charles Carmakal, директор за технологија во Mandiant Consulting:

Напредните напаѓачи сè почесто ги таргетираат мрежните уреди и други системи кои природно не поддржуваат EDR решенија, бидејќи тие нудат помала видливост за безбедносните тимови и овозможуваат подолготрајно присуство во мрежата.

Извори:

  • The Hacker News – Cisco Catalyst SD-WAN Zero-Day CVE-2026-20245 Exploited to Gain Root Access The Hacker News