Mandiant раскрыла детали атак на Cisco SD-WAN: злоумышленники создавали root-аккаунт troot

Mandiant раскрыла новые детали эксплуатации уязвимости CVE-2026-20245 в Cisco Catalyst SD-WAN. По данным BleepingComputer, ошибка уже использовалась в zero-day атаках и позволяла создавать rogue root-аккаунты на затронутых устройствах. Речь идёт о high-severity command injection в Cisco Catalyst SD-WAN Manager (vManage), Controller (vSmart) и Validator (vBond).

Уязвимость связана с недостаточной проверкой пользовательского ввода и позволяет аутентифицированному атакующему с локальным доступом выполнить произвольные команды от имени root через загрузку специально подготовленного файла. Cisco ранее сообщала, что проблема эксплуатировалась в ограниченном числе атак, выпустила обновления и предупредила, что рабочих обходных мер нет.

Новые данные Mandiant показывают, что CVE-2026-20245 использовалась не как начальная точка входа, а как этап повышения привилегий после доступа к SD-WAN инфраструктуре. Исследователи связывают начало инцидента с несанкционированными SD-WAN peering-соединениями в инфраструктуре сервис-провайдера. Начиная с марта 2026 года злоумышленник создавал rogue peer connections и аутентифицировался на SD-WAN Manager с помощью учётной записи vmanage-admin.

Mandiant допускает, что первоначальный peering мог быть создан через ранее раскрытые Cisco SD-WAN authentication bypass zero-days CVE-2026-20127 и CVE-2026-20182, хотя точный метод остаётся неясным. После входа атакующие меняли пароль стандартного admin-аккаунта, заходили в веб-интерфейс SD-WAN Manager и извлекали конфигурационную информацию для edge-устройств, контроллеров и шаблонов SD-WAN. Затем пароль возвращали к исходному значению, вероятно, чтобы снизить шанс обнаружения.

Ключевой этап эксплуатации CVE-2026-20245 проходил через tenant-upload функцию в CLI: атакующие загружали вредоносный CSV-файл с именем evil_tenant.csv. Payload сначала создавал резервные копии системных файлов, включая /etc/passwd и /etc/shadow, а затем добавлял root-level аккаунт troot. Для защитников это означает необходимость не только установить исправления Cisco, но и проверить признаки уже состоявшейся компрометации: неожиданные peering-соединения, изменения admin-пароля, следы tenant upload и появление посторонних локальных аккаунтов.

Источник: BleepingComputer и Mandiant, 24 июня 2026