Ataki 0-day na Cisco SD-WAN: jak CVE-2026-20245 umożliwiło uzyskanie uprawnień root

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Cisco Catalyst SD-WAN stanowi kluczową warstwę zarządzania i orkiestracji sieci rozległych w przedsiębiorstwach oraz środowiskach operatorskich. Ujawnione szczegóły dotyczące podatności CVE-2026-20245 pokazują, że luka typu command injection była wykorzystywana w rzeczywistych atakach do uzyskania uprawnień root na komponentach kontrolnych platformy.

To istotny incydent, ponieważ kompromitacja centralnej płaszczyzny zarządzania SD-WAN może dać napastnikowi nie tylko dostęp do pojedynczego systemu, ale również wpływ na konfigurację, polityki i działanie rozproszonej infrastruktury sieciowej.

W skrócie

CVE-2026-20245 dotyczy komponentów Cisco Catalyst SD-WAN Manager, Controller i Validator. Podatność pozwala uwierzytelnionemu atakującemu na wykonanie dowolnych poleceń jako root po dostarczeniu spreparowanego pliku.

Luka była wykorzystywana jako etap eskalacji uprawnień po wcześniejszym uzyskaniu dostępu do środowiska.
Atak obejmował tworzenie nieautoryzowanych połączeń peeringowych oraz logowanie na konto administracyjne.
Napastnicy pobierali konfigurację środowiska i używali złośliwego pliku CSV do utworzenia ukrytego konta root.
W kampanii zaobserwowano działania anti-forensics utrudniające wykrycie incydentu.

Kontekst / historia

Cisco informowało wcześniej o ograniczonych atakach wykorzystujących CVE-2026-20245, jednak dopiero analiza incydentów opisana przez Mandiant pokazała pełniejszy obraz operacyjny. Z ustaleń wynika, że aktywność przeciwnika była widoczna co najmniej od marca 2026 roku i obejmowała tworzenie rogue peeringu w infrastrukturze operatora.

Sprawa wpisuje się w szerszy problem bezpieczeństwa ekosystemu Cisco SD-WAN. W tle pojawiają się również wcześniejsze podatności, takie jak CVE-2026-20127 i CVE-2026-20182, które mogły posłużyć do początkowego wejścia do środowiska albo do odzyskania dostępu po wcześniejszej kompromitacji. To pokazuje, że nowoczesne kampanie rzadko opierają się na jednej luce — znacznie częściej są to wieloetapowe łańcuchy ataku.

Analiza techniczna

Istotą CVE-2026-20245 jest niewystarczająca walidacja danych wejściowych przekazywanych przez użytkownika. W praktyce umożliwia to przesłanie spreparowanego pliku i doprowadzenie do wykonania poleceń systemowych z najwyższymi uprawnieniami. Według opisanego scenariusza exploit był realizowany przez funkcję uploadu tenantów w interfejsie CLI platformy SD-WAN.

Zrekonstruowany przebieg ataku obejmował kilka etapów. Najpierw napastnik uzyskiwał dostęp do środowiska i zestawiał nieautoryzowane połączenia peeringowe. Następnie logował się do SD-WAN Manager z wykorzystaniem konta vmanage-admin, zmieniał hasło domyślnego administratora, uzyskiwał dostęp do interfejsu webowego i pobierał konfigurację urządzeń brzegowych, kontrolerów oraz szablonów.

Kolejny krok polegał na przesłaniu złośliwego pliku CSV, opisywanego jako evil_tenant.csv, który aktywował command injection. Payload tworzył kopie zapasowe kluczowych plików systemowych, takich jak /etc/passwd i /etc/shadow, a następnie dodawał nowe konto troot z uprawnieniami roota. Po utworzeniu konta napastnik przełączał kontekst użytkownika i uzyskiwał pełną kontrolę nad hostem.

Na szczególną uwagę zasługują techniki maskowania śladów. Atakujący przywracali wcześniejszy stan zmodyfikowanych plików, usuwali złośliwy plik CSV, pliki tymczasowe oraz artefakty związane z utworzonym kontem. Zaobserwowano również skrypty weryfikacyjne służące do sprawdzania, czy ślady kompromitacji zostały skutecznie usunięte. Taki poziom staranności sugeruje dojrzałość operacyjną i dobrą znajomość mechanizmów detekcji stosowanych przez ofiary.

Konsekwencje / ryzyko

Przejęcie uprawnień root w środowisku Cisco SD-WAN należy traktować jako zagrożenie o bardzo wysokiej wadze. Warstwa zarządzająca ma szeroki wgląd w konfigurację i polityki sieciowe, a także możliwość propagowania zmian do urządzeń brzegowych.

Przejęcie centralnego punktu zarządzania siecią WAN.
Masową modyfikację konfiguracji na wielu urządzeniach jednocześnie.
Utrzymanie trwałego dostępu do infrastruktury.
Podsłuch, przekierowanie lub zakłócenie ruchu sieciowego.
Naruszenie segmentacji i polityk bezpieczeństwa.
Ułatwienie dalszego ruchu bocznego w środowisku ofiary.

Dodatkowym problemem jest to, że kampania nie opierała się wyłącznie na prostym wykorzystaniu pojedynczej luki. Połączenie wcześniejszego dostępu, eskalacji uprawnień i działań anti-forensics znacząco obniża skuteczność tradycyjnych metod wykrywania opartych tylko na wskaźnikach kompromitacji lub podstawowym monitoringu zmian.

Rekomendacje

Organizacje korzystające z Cisco Catalyst SD-WAN powinny potraktować ten przypadek priorytetowo i połączyć działania naprawcze z analizą śledczą.

Niezwłocznie przejść na wersje oprogramowania wskazane przez producenta jako naprawione.
Zebrać dane diagnostyczne z kontrolerów SD-WAN i przeanalizować je pod kątem nietypowych połączeń peeringowych.
Zweryfikować historię logowań do kont administracyjnych, szczególnie vmanage-admin i innych kont uprzywilejowanych.
Sprawdzić, czy występowały nieautoryzowane zmiany haseł, anomalie w uploadach plików oraz krótkotrwałe modyfikacje konfiguracji.
Przeanalizować integralność plików systemowych i artefaktów związanych z kontami lokalnymi.
Zweryfikować możliwość użycia skradzionych certyfikatów lub odtworzenia wcześniejszego dostępu.
Ograniczyć dostęp do interfejsów zarządzających wyłącznie do sieci uprzywilejowanych.
Wdrożyć ścisłą segmentację dostępu administracyjnego do platformy SD-WAN.
Monitorować wskaźniki kompromitacji publikowane przez producenta i partnerów bezpieczeństwa.
Traktować każde wykrycie rogue peeringu jako potencjalny sygnał pełnej kompromitacji warstwy kontrolnej.

Podsumowanie

Przypadek CVE-2026-20245 pokazuje, że ataki na Cisco SD-WAN stają się coraz bardziej wieloetapowe, ukierunkowane na trwały i trudny do wykrycia dostęp. Sama luka command injection była jedynie elementem większego łańcucha prowadzącego do przejęcia pełnej kontroli root nad kontrolerami SD-WAN.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że sama aktualizacja oprogramowania nie wystarczy. Niezbędne jest równoczesne prowadzenie monitoringu aktywności administracyjnej, analizy integralności systemów oraz dochodzenia pod kątem subtelnych oznak kompromitacji całej płaszczyzny zarządzającej.