Mandiant ujawnia mechanizm ataków zero-day na Cisco SD-WAN prowadzących do uzyskania uprawnień root

Wprowadzenie do problemu / definicja

Cisco Catalyst SD-WAN to kluczowa platforma do zarządzania łącznością rozproszonych środowisk sieciowych, wykorzystywana przez przedsiębiorstwa i operatorów do kontroli polityk, urządzeń brzegowych oraz połączeń WAN. Najnowsze ustalenia dotyczące luki CVE-2026-20245 pokazują, że nawet systemy wymagające uwierzytelnienia mogą zostać skutecznie przejęte, jeśli napastnik wcześniej uzyska dostęp do konta administracyjnego lub innego zaufanego mechanizmu dostępu.

W analizowanym scenariuszu podatność została wykorzystana do wykonania dowolnych poleceń systemowych z uprawnieniami root poprzez dostarczenie spreparowanego pliku do podatnego komponentu. To oznacza przejście z poziomu dostępu administracyjnego do pełnej kontroli nad systemem operacyjnym urządzenia zarządzającego SD-WAN.

W skrócie

• Podatność CVE-2026-20245 była wykorzystywana jako etap eskalacji uprawnień po wcześniejszym uzyskaniu dostępu do środowiska Cisco SD-WAN.
• Atak prowadził do wykonania poleceń jako root i utworzenia ukrytego konta uprzywilejowanego.
• Napastnicy stosowali działania antyforensic, aby usuwać ślady po kompromitacji.
• Zaobserwowano również nieautoryzowane połączenia peeringowe oraz oznaki wcześniejszego obejścia uwierzytelniania lub użycia skompromitowanych certyfikatów.
• Cisco opublikowało poprawki, a organizacjom zalecono pilną aktualizację i analizę środowiska pod kątem artefaktów naruszenia.

Kontekst / historia

Incydent wpisuje się w szerszą serię problemów bezpieczeństwa dotyczących platformy Cisco SD-WAN w 2026 roku. Wcześniejsze doniesienia koncentrowały się na lukach umożliwiających obejście uwierzytelnienia i aktywne wykorzystanie ich w ograniczonej liczbie ataków. W przypadku CVE-2026-20245 badacze podkreślili jednak, że nie był to pierwotny wektor wejścia, lecz narzędzie wykorzystywane po uzyskaniu dostępu do środowiska.

Z ustaleń wynika, że pierwsze symptomy naruszenia pojawiły się w marcu 2026 roku, kiedy zaobserwowano nieautoryzowane relacje peeringowe w infrastrukturze jednego z operatorów. Następnie atakujący mieli logować się do urządzeń SD-WAN Manager z użyciem konta vmanage-admin, zmieniać hasło administratora, pobierać dane konfiguracyjne, a po zakończeniu aktywności przywracać pierwotne ustawienia, by utrudnić wykrycie incydentu.

Analiza techniczna

CVE-2026-20245 to luka typu command injection wynikająca z niewystarczającej walidacji danych wejściowych dostarczanych przez użytkownika. Problem dotyczy komponentów Cisco Catalyst SD-WAN Manager, vSmart oraz vBond. Po uwierzytelnieniu napastnik może przesłać specjalnie przygotowany plik i doprowadzić do wykonania poleceń systemowych z uprawnieniami root.

W opisanym scenariuszu wykorzystania podatność została nadużyta przez funkcję uploadu dostępną po stronie interfejsu CLI, gdzie przesłano złośliwy plik CSV. Ładunek rozpoczynał działanie od utworzenia kopii zapasowych krytycznych plików systemowych, w tym /etc/passwd oraz /etc/shadow. Następnie tworzono nowe konto o nazwie troot z uprawnieniami roota. Po utworzeniu konta operator ataku przechodził na nie przy użyciu polecenia su, uzyskując pełną kontrolę nad systemem.

Na szczególną uwagę zasługuje komponent antyforensic. Napastnicy nie ograniczali się do modyfikacji systemu, ale również przywracali wcześniejsze wersje plików, usuwali przesłany plik CSV, kasowali pliki tymczasowe i wymazywali ślady istnienia utworzonego konta root. Badacze wskazali także na użycie skryptu walidacyjnego, którego celem było sprawdzenie, czy artefakty kompromitacji zostały skutecznie usunięte. Taka metodyka znacząco utrudnia klasyczną analizę powłamaniową opartą wyłącznie na lokalnych logach i śladach systemowych.

Dodatkowym elementem całego łańcucha ataku były nieautoryzowane połączenia peeringowe. Istnieje podejrzenie, że przynajmniej część dostępu początkowego mogła wynikać z wcześniejszego wykorzystania innych luk w Cisco SD-WAN związanych z obejściem uwierzytelnienia. Wskazano również, że część aktywności mogła być realizowana z użyciem certyfikatów skradzionych podczas wcześniejszego naruszenia, co rozszerza zakres zagrożenia poza pojedynczą podatność.

Konsekwencje / ryzyko

Skuteczne uzyskanie uprawnień root na komponentach zarządzających Cisco SD-WAN oznacza wysokie ryzyko dla organizacji, ponieważ umożliwia przejęcie płaszczyzny administracyjnej sieci WAN. W praktyce daje to możliwość manipulowania konfiguracją urządzeń, wpływania na ruch sieciowy oraz utrzymywania trwałego dostępu do środowiska.

• modyfikacja konfiguracji urządzeń brzegowych i kontrolerów,
• przechwytywanie lub przekierowywanie ruchu,
• utrzymanie trwałego dostępu administracyjnego,
• dalsza kompromitacja systemów zarządzania,
• ukrywanie aktywności poprzez czyszczenie artefaktów i logów.

Najgroźniejszy jest jednak operacyjny charakter kampanii. Atakujący działali metodycznie, dbając zarówno o utrzymanie dostępu, jak i minimalizowanie widoczności swoich działań. Oznacza to, że część organizacji mogła zostać naruszona bez natychmiastowej detekcji. W środowiskach operatorskich i korporacyjnych konsekwencje mogą obejmować zakłócenie ciągłości działania, utratę integralności polityk sieciowych oraz ekspozycję wrażliwych danych konfiguracyjnych.

Rekomendacje

Organizacje korzystające z Cisco Catalyst SD-WAN powinny potraktować ten przypadek jako incydent wymagający zarówno szybkich działań naprawczych, jak i szerszego przeglądu bezpieczeństwa architektury zarządzania. Sama instalacja poprawek może nie być wystarczająca, jeśli atakujący wcześniej uzyskał trwały dostęp do środowiska.

• Niezwłocznie zaktualizować wszystkie podatne komponenty do wersji wskazanych przez producenta jako naprawione.
• Zabezpieczyć dane diagnostyczne i logi przed rotacją lub nadpisaniem.
• Zweryfikować obecność nieautoryzowanych połączeń peeringowych, zmian w certyfikatach i nietypowych operacji administracyjnych.
• Przeanalizować historię zmian haseł kont uprzywilejowanych, szczególnie konta vmanage-admin.
• Poszukiwać oznak manipulacji plikami systemowymi, anomalii związanych z kontami lokalnymi i eskalacją uprawnień.
• Przeprowadzić rotację haseł administracyjnych, kluczy i certyfikatów, jeśli istnieje podejrzenie wcześniejszego naruszenia.
• Ograniczyć dostęp administracyjny do interfejsów SD-WAN wyłącznie z zaufanych segmentów sieci.
• Wdrożyć monitoring behawioralny obejmujący zmiany konfiguracji, tworzenie kont, użycie polecenia su oraz nietypowe operacje na plikach systemowych.
• Skorelować wskaźniki kompromitacji z systemami SIEM, EDR oraz telemetrią sieciową.
• Przeprowadzić threat hunting pod kątem technik antyforensic, ponieważ brak lokalnych śladów nie wyklucza kompromitacji.

Podsumowanie

Przypadek CVE-2026-20245 pokazuje, że bezpieczeństwo platform SD-WAN należy oceniać w kontekście całego łańcucha ataku, a nie wyłącznie pojedynczej luki. W opisanej kampanii podatność Cisco została wykorzystana jako precyzyjne narzędzie eskalacji uprawnień, prowadzące do uzyskania roota, utrzymania dostępu i ograniczenia widoczności incydentu.

Dla zespołów bezpieczeństwa oznacza to konieczność pilnego patchowania, przeglądu relacji zaufania w środowisku SD-WAN oraz prowadzenia dochodzeń opartych nie tylko na logach lokalnych, ale również na telemetrii sieciowej, zmianach konfiguracyjnych i analizie certyfikatów. To właśnie połączenie tych źródeł może ujawnić ślady operacji, które celowo miały pozostać niewidoczne.

Źródła

• Mandiant reveals how Cisco SD-WAN zero-day attacks gained root access
• Cisco CVE-2026-20245 Security Advisory
• Mandiant: Unauthenticated Cisco SD-WAN Exploitation and Post-Compromise Tradecraft
• CISA Known Exploited Vulnerabilities Catalog
• Cisco Security Advisories and Field Notices