Um threat actor ainda não identificado explorou como zero-day uma falha de segurança de alta gravidade no Cisco Catalyst SD-WAN pelo menos dois meses antes de ela ser tornada pública, segundo novos achados da Mandiant, empresa da Google.
A vulnerabilidade, identificada como
CVE-2026-20245
e com pontuação CVSS de 7,8, afeta o Cisco Catalyst SD-WAN Manager (vManage), o Controller (vSmart) e o Validator (vBond). Ela permite que um atacante autenticado e com acesso local execute comandos arbitrários com privilégios elevados ao enviar um arquivo especialmente criado ao sistema afetado, explorando a validação insuficiente da entrada fornecida pelo usuário.
No início deste mês, a Cisco reconheceu que tomou conhecimento da exploração dessa falha e acrescentou que um agente malicioso precisaria ter privilégios de netadmin em um sistema afetado para conseguir realizar um ataque com sucesso. A empresa publicou atualizações de segurança e orientou os clientes a migrarem para versões corrigidas do software, destacando que não havia soluções alternativas disponíveis.
Em um relatório publicado nesta terça-feira, a Mandiant revelou que a
CVE-2026-20245
foi explorada como uma vulnerabilidade de escalada de privilégios depois que os atacantes já haviam obtido acesso a dispositivos SD-WAN alvo. Segundo os pesquisadores, o incidente atingiu um provedor de serviços de comunicação não identificado, com o objetivo de elevar uma conta administrativa comprometida para acesso total em nível de root.
Foram detectados dois períodos distintos de atividade não autorizada, um entre o fim de 2025 e janeiro de 2026 e outro em março de 2026. Até o momento, não está claro se esses dois eventos estão ligados e se foram obra do mesmo threat actor.
Na primeira onda, a vítima teria sofrido conexões de peering não autorizadas, observadas na infraestrutura de um provedor de serviços, que provavelmente exploraram uma de duas falhas de bypass de autenticação nos controladores Cisco Catalyst SD-WAN, identificadas como
CVE-2026-20127
e
CVE-2026-20182
. Vale destacar que, naquele momento, ambas ainda eram zero-days não divulgados.
A partir de março de 2026, o threat actor estabeleceu novas conexões de peering maliciosas e se autenticou em dispositivos SD-WAN Manager afetados usando a conta vmanage-admin. A Mandiant acredita que esse peering malicioso pode ter sido criado por meio da exploração dos zero-days de bypass de autenticação divulgados anteriormente, embora o método exato ainda não esteja claro.
Depois de obter acesso, os atacantes alteraram a senha padrão da conta de administrador, fizeram login na interface web do SD-WAN Manager e extraíram informações de configuração de dispositivos de borda, controladores e modelos de SD-WAN. A Mandiant afirma que, em seguida, os atacantes restauraram a senha original da conta de administrador após concluir suas atividades, provavelmente para reduzir a chance de detecção.
Em março de 2026, uma segunda onda de conexões de peering maliciosas atingiu um dispositivo executando uma versão mais recente do software, já corrigida para
CVE-2026-20127
. A Cisco confirmou posteriormente que essas conexões não exploraram a
CVE-2026-20182
, o que levanta a hipótese de que o atacante, que pode ou não ter sido o mesmo das conexões anteriores, tenha usado certificados roubados em uma violação anterior do mesmo dispositivo para obter acesso inicial.
Os pesquisadores dizem que, em seguida, os atacantes exploraram a
CVE-2026-20245
por meio de um recurso de upload de tenant na interface de linha de comando do SD-WAN, enviando um arquivo CSV malicioso chamado "evil_tenant.csv". “A
CVE-2026-20245
, uma vulnerabilidade reportada à Cisco pela Mandiant, existe na interface de linha de comando (CLI) dos Cisco Catalyst SD-WAN Controllers e pode permitir que um invasor autenticado e local execute comandos arbitrários como root ao fornecer um arquivo manipulado ao sistema afetado”, explica a Mandiant.
“O atacante então alterou as credenciais padrão de administrador antes de explorar a
CVE-2026-20245
como zero-day por meio do envio de um arquivo CSV malicioso, o evil_tenant.csv”, informou a Mandiant. “Esse exploit permitiu a escalada de privilégios e a criação de uma conta maliciosa, chamada ‘troot’, com controle total de shell em nível de root.”
A Mandiant informa que o payload malicioso primeiro criou cópias de segurança de arquivos de configuração do sistema, incluindo /etc/passwd e /etc/shadow, antes de criar uma nova conta chamada "troot" com privilégios de root. Os atacantes então usaram o comando Linux "su" para trocar da conta administrativa comprometida para a nova conta root, garantindo controle total sobre o dispositivo.
“Durante toda a intrusão, para manter a segurança operacional e evitar a detecção, o threat actor empregou de forma consistente técnicas antiforenses, excluindo e restaurando seletivamente arquivos de configuração do sistema que foram modificados durante suas atividades”, afirmaram os pesquisadores da Mandiant Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan.
A Mandiant afirma que os atacantes recorreram intensamente a técnicas antidescoberta para evitar a detecção. Isso incluiu fazer backup dos arquivos de configuração antes de modificá-los e restaurá-los depois da exploração.
Eles também apagaram vestígios do ataque ao excluir o CSV malicioso, remover arquivos temporários criados durante a ação e eliminar evidências da conta root irregular. Os pesquisadores também observaram a execução de um script de validação para confirmar que todos os rastros da invasão haviam sido removidos do dispositivo.
“Depois de alterar a senha padrão de administrador e exfiltrar a configuração do fabric SD-WAN, o agente mudou a senha de volta ao valor original para que um administrador, ao fazer login, não percebesse nada de errado”, disse Austin Larsen, analista principal de ameaças do Google Threat Intelligence Group (GTIG).
“Eles escalaram para root por meio de um upload malicioso de CSV, criaram uma conta oculta ‘troot’ em /etc/passwd e /etc/shadow, depois apagaram todos os arquivos que tocaram e executaram um script de validação para confirmar que seus indicadores haviam desaparecido.”
A Mandiant afirma que parte da atividade de peering irregular observada em março de 2026 ocorreu em sistemas que não eram vulneráveis a nenhuma das falhas de bypass de autenticação divulgadas anteriormente. A Cisco informou aos pesquisadores que a violação não envolveu a
CVE-2026-20182
e disse que é possível que os atacantes tenham usado certificados roubados em um comprometimento anterior para recuperar o acesso aos dispositivos.
A Mandiant publicou indicadores de comprometimento, endereços IP dos atacantes e orientações para ajudar organizações a determinar se foram invadidas. As organizações devem coletar dados de diagnóstico dos dispositivos SD-WAN, verificar sinais de conexões de peering não autorizadas e atualizar para as versões mais recentes do software, caso ainda não tenham feito isso.
A Google observou que a atividade reforça mais uma vez a “tendência contínua” de agentes maliciosos transformarem zero-days em armas contra dispositivos de borda, como soluções SD-WAN, que não possuem a telemetria necessária para uma análise forense profunda. Além disso, um ponto de apoio nesses sistemas pode garantir visibilidade persistente sobre o tráfego interno em toda a malha.
“Adversários avançados continuam mirando e explorando principalmente dispositivos de rede e outros sistemas que não oferecem suporte nativo a soluções EDR”, afirmou Charles Carmakal, diretor de tecnologia da Mandiant Consulting, em uma publicação no LinkedIn.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...