Работает даже при белом списке
Image

Думаешь, тебя это не коснётся? Каждый может стать целью. Узнай, как защититься.

Взломали, украли, прибрались. Хакеры показали блестящий уровень тихой работы в сетях Cisco

leer en español

3871
Cisco Mandiant SD-WAN CVE-2026-20245 root-доступ vManage взлом
Взломали, украли, прибрались. Хакеры показали блестящий уровень тихой работы в сетях Cisco
Cisco Mandiant SD-WAN CVE-2026-20245 root-доступ vManage взлом

Всё выглядело штатно, пока внутри системы не появился лишний хозяин.

image

В сетевой инфраструктуре опаснее всего не первый вход злоумышленников, а момент, когда временный доступ превращается в полный контроль над устройством. Специалисты Mandiant раскрыли подробности атак на Cisco Catalyst SD-WAN, где уязвимость CVE-2026-20245 (7.8 по шкале CVSS 3.1, AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) помогала создавать скрытые учётные записи с правами root.

Проблема затрагивает Cisco Catalyst SD-WAN Manager, Controller и Validator. Ошибка позволяла уже авторизованному злоумышленнику выполнить команды с максимальными правами через специально подготовленный файл. Cisco ранее сообщала, что уязвимость использовали в ограниченном числе атак, но тогда не раскрыла механизм.

По данным Mandiant, атаки начались с несанкционированных соединений между узлами SD-WAN в инфраструктуре одного поставщика услуг. С марта 2026 года злоумышленники создавали поддельные peer-соединения и входили на устройства SD-WAN Manager через учётную запись vmanage-admin. Точный способ первого доступа не установлен.

Mandiant допускает связь с ранее раскрытыми уязвимостями обхода аутентификации, однако Cisco сообщила, что CVE-2026-20182 в инциденте не участвовала, а атакующие могли использовать сертификаты, украденные при прежнем взломе.

После входа злоумышленники меняли пароль стандартной административной учётной записи, заходили в веб-интерфейс SD-WAN Manager и выгружали конфигурации пограничных устройств, контроллеров и шаблонов SD-WAN. Затем пароль возвращали к прежнему значению, чтобы следы выглядели менее заметными.

CVE-2026-20245 применяли через функцию загрузки данных арендатора в командной строке SD-WAN. Для атаки загружали вредоносный CSV-файл evil_tenant.csv. Сценарий сначала создавал резервные копии системных файлов /etc/passwd и /etc/shadow, затем добавлял учётную запись troot с правами root. После этого атакующие переходили в новую учётную запись через команду Linux su и получали полный контроль над устройством.

Mandiant также описала попытки скрыть вмешательство. Злоумышленники восстанавливали изменённые файлы, удаляли вредоносный CSV, временные файлы и следы root-аккаунта. На устройствах также запускали скрипт, который проверял, остались ли признаки компрометации.

Cisco уже выпустила обновления для уязвимых версий и указала, что обходных мер нет. Организациям рекомендуется обновить SD-WAN до исправленных выпусков, собрать диагностические данные с устройств, проверить признаки несанкционированных peer-соединений и сверить инфраструктуру с индикаторами компрометации, опубликованными Mandiant.