A segurança em infraestruturas de rede é frequentemente testada não apenas pela entrada inicial de invasores, mas pela transição de um acesso temporário para um controle total sobre os dispositivos. Recentemente, especialistas da Mandiant detalharam ataques contra a solução Cisco Catalyst SD-WAN, onde a vulnerabilidade CVE-2026-20245 (com pontuação de 7.8 na escala CVSS 3.1) foi explorada para criar contas de usuário ocultas com privilégios de root. Essa falha afetou componentes cruciais como Cisco Catalyst SD-WAN Manager, Controller e Validator.
O mecanismo da exploração permitia que um invasor já autenticado executasse comandos com privilégios máximos através do upload de um arquivo especialmente preparado. Embora a Cisco já tivesse notificado sobre o uso limitado desta vulnerabilidade em ataques, o método exato de comprometimento não havia sido totalmente revelado até então. De acordo com a Mandiant, os ataques começaram com conexões não autorizadas entre nós SD-WAN dentro da infraestrutura de um provedor de serviços. A partir de março de 2026, os atacantes estabeleceram conexões peer falsas e acessaram os dispositivos SD-WAN Manager utilizando a conta vmanage-admin. A forma exata do acesso inicial ainda não foi determinada, mas a Mandiant sugere uma possível ligação com vulnerabilidades de bypass de autenticação previamente divulgadas. No entanto, a Cisco esclareceu que a CVE-2026-20182 não esteve envolvida neste incidente específico, e os atacantes podem ter utilizado certificados roubados em brechas de segurança anteriores.
Uma vez dentro do sistema, os invasores procediam com a alteração da senha da conta administrativa padrão, acessavam a interface web do SD-WAN Manager e extraíam as configurações dos dispositivos de borda, controladores e templates SD-WAN. Posteriormente, restauravam a senha original para minimizar a detecção de suas atividades. A exploração da CVE-2026-20245 ocorria através da funcionalidade de upload de dados do tenant na linha de comando do SD-WAN. Para isso, um arquivo CSV malicioso, nomeado evil_tenant.csv, era carregado. O processo envolvia a criação de backups dos arquivos de sistema /etc/passwd e /etc/shadow, seguida pela adição de uma nova conta denominada 'troot' com privilégios de root. Em seguida, os atacantes utilizavam o comando Linux 'su' para alternar para essa nova conta, obtendo assim controle total sobre o dispositivo comprometido. A Mandiant também documentou as tentativas de ocultar os rastros da invasão, incluindo a restauração de arquivos modificados, a exclusão do CSV malicioso, arquivos temporários e quaisquer vestígios da conta root. Um script era executado nos dispositivos para verificar a presença de indicadores de comprometimento remanescentes.
A Cisco já disponibilizou atualizações para as versões vulneráveis, enfatizando que não existem medidas paliativas eficazes. As organizações são fortemente recomendadas a atualizar suas soluções SD-WAN para as versões corrigidas, coletar dados de diagnóstico dos dispositivos, verificar a existência de conexões peer não autorizadas e comparar sua infraestrutura com os indicadores de comprometimento (IoCs) publicados pela Mandiant para garantir a integridade de suas redes.
