Mandiant: атака на Cisco SD-WAN через zero-day

В начале 2026 года Mandiant сообщила о продолжающейся киберкампании, нацеленной на инфраструктуру Software-Defined Wide Area Network (SD-WAN). По данным компании, злоумышленники эксплуатируют уязвимость нулевого дня (CVE-2026-20245) в Cisco Catalyst SD-WAN, чтобы повысить привилегии от административной учетной записи до root-доступа.

Как работала атака

Ключевая особенность инцидента — использование ошибки безопасности, связанной с неправильной фильтрацией в функции загрузки файлов. Это позволяло атакующим загружать специально подготовленный вредоносный файл и выполнять произвольные команды с привилегиями root после обработки загрузки.

Судя по описанию кампании, злоумышленник действовал поэтапно:

• устанавливал несанкционированные peering-соединения;
• получал доступ к Secure Shell (SSH);
• менял пароли учетных записей по умолчанию, чтобы дольше оставаться незамеченным;
• использовал эксплуатацию CVE-2026-20245 для закрепления в системе.

После первоначального доступа атакующие загрузили файл evil_tenant.csv, содержащий вредоносные команды, направленные на изменение критически важных системных файлов, включая /etc/passwd и /etc/shadow. Именно этот этап позволял перейти от административного контроля к выполнению команд на уровне root.

Дополнительные уязвимости в Cisco SD-WAN

Помимо CVE-2026-20245, Cisco раскрыла сведения еще о двух уязвимостях — CVE-2026-20127 и CVE-2026-20182. Они затрагивают механизмы аутентификации peering контроллеров Cisco SD-WAN.

По оценке исследователей, эти недостатки потенциально могли позволить удаленным неаутентифицированным злоумышленникам обойти аутентификацию и получить административные привилегии на затронутых устройствах. Наблюдения также указывают на то, что несанкционированные peering-соединения могли использовать эти уязвимости еще до их публичного раскрытия, обеспечивая первоначальный доступ в рамках атаки.

Почему это опасно

Ситуация отражает устойчивую тенденцию к атакам на сетевые управляющие устройства. Эксперты все чаще описывают этот подход как living off the edge — когда злоумышленники нацеливаются на инструменты сетевой оркестрации, чтобы обойти традиционные меры защиты и получить скрытый долгосрочный доступ.

Такие устройства особенно привлекательны для атакующих по нескольким причинам:

• они контролируют значимые сегменты корпоративной сети;
• через них проходит чувствительный трафик;
• они часто располагают ограниченной телеметрией для полноценного криминалистического анализа;
• их компрометация может оставаться незамеченной длительное время.

Это создает риск постоянного доступа к конфиденциальным данным и внутренним коммуникациям организации.

Что рекомендуют организациям

В сложившейся ситуации компаниям рекомендуется действовать без промедления. В первую очередь необходимо установить обновления программного обеспечения, устраняющие CVE-2026-20245, а также следовать руководствам Cisco по усилению защиты.

Кроме того, важны поисковые операции и мониторинг признаков компрометации, в том числе:

• подозрительных событий смены паролей;
• изменений учетных данных административных учетных записей;
• записей в /var/log/auth.log, связанных с несанкционированной активностью;
• аномальных peering-соединений и попыток доступа по SSH.

Как следует из отчета, скоординированный характер атак и быстро меняющийся ландшафт уязвимостей требуют от организаций повышенной бдительности. Для защиты от подобных угроз недостаточно разового обновления: необходимы постоянный мониторинг, оперативное реагирование и контроль за состоянием сетевой инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.