Een onbekende bedreigingsacteur maakte misbruik van een onlangs onthulde, zeer ernstige beveiligingsfout die een zero-day impact had op Cisco Catalyst SD-WAN, minstens twee maanden voordat deze openbaar werd gemaakt, volgens nieuwe bevindingen van Mandiant, eigendom van Google.
De kwetsbaarheid, bijgehouden als CVE-2026-20245 (CVSS-score: 7,8), stelt een geverifieerde, lokale aanvaller in staat willekeurige opdrachten met verhoogde rechten uit te voeren door een vervaardigd bestand aan het getroffen systeem te leveren door te profiteren van de onvoldoende validatie van door de gebruiker aangeleverde invoer door het apparaat.
Eerder deze maand erkende Cisco dat het zich bewust werd van misbruik van dit beveiligingslek, en voegde eraan toe dat een kwaadwillende actor netadmin-rechten moet hebben op een getroffen systeem om een succesvolle aanval uit te voeren.
“Tijdens de inbreuk maakte de bedreigingsacteur, om de operationele veiligheid te behouden en detectie te voorkomen, consequent gebruik van anti-forensische technieken, waarbij hij selectief systeemconfiguratiebestanden verwijderde en herstelde die tijdens hun activiteiten waren gewijzigd”, aldus Mandiant-onderzoekers Chester Sng, Pete Boonyakarn en Logeswaran Nadarajan.
Het incident, zo voegde de afdeling incidentrespons en dreigingsinformatie van de technologiegigant toe, was gericht op een niet nader gespecificeerde communicatiedienstverlener om een gecompromitteerd beheerdersaccount te verheffen tot volledige toegang op rootniveau.
Er zijn twee verschillende perioden van ongeoorloofde activiteit gedetecteerd: de ene vond plaats tussen eind 2025 en januari 2026 en de andere in maart 2026. In dit stadium is het onduidelijk of deze twee gebeurtenissen verband houden met het werk van dezelfde dreigingsactor.
Tijdens de eerste golf zou het slachtoffer ongeautoriseerde peering-verbindingen hebben ondervonden die waarschijnlijk misbruik maakten van een van de twee authenticatie-bypass-fouten in Cisco Catalyst SD-WAN-controllers (CVE-2026-20127 of CVE-2026-20182). Het is vermeldenswaard dat beide beveiligingsproblemen op dat moment nog niet openbaar waren gemaakt.
In maart 2026 richtte een tweede golf van malafide peering-verbindingen zich op een apparaat met een nieuwere softwareversie die was gepatcht tegen CVE-2026-20127. Cisco heeft sindsdien bevestigd dat deze verbindingen geen gebruik maakten van CVE-2026-20182, waardoor de mogelijkheid ontstond dat de aanvaller, die al dan niet achter de eerdere ongeautoriseerde peering-verbindingen zat, zich baseerde op gestolen certificaten van een eerdere inbreuk op hetzelfde apparaat om initiële toegang te verkrijgen.
“De aanvaller veranderde vervolgens de standaard beheerdersreferenties voordat hij CVE-2026-20245 als een zero-day exploiteerde via een kwaadaardige CSV-bestandsupload (evil_tenant.csv)”, aldus Mandiant. “Deze exploit stelde hen in staat de rechten te escaleren en een frauduleus gebruikersaccount (genaamd ’troot’) aan te maken met volledige shell-controle op rootniveau.”
Er is ook gebleken dat de aanvallers consequent hun sporen uitwissen door door hen gemaakte bestanden te verwijderen, configuratiewijzigingen ongedaan te maken en scripts uit te voeren om ervoor te zorgen dat er geen bewijsmateriaal achterblijft en de mogelijkheden van de verdedigers om de volledige omvang van het compromis te beoordelen te beperken.
“Nadat hij het standaard beheerderswachtwoord had gewijzigd en de SD-WAN-fabricconfiguratie had geëxfiltreerd, veranderde de acteur het wachtwoord terug naar de oorspronkelijke waarde, zodat een beheerder die zich aanmeldde niet zou merken dat er iets niet klopte”, zegt Austin Larsen, hoofddreigingsanalist bij Google Threat Intelligence Group (GTIG).
“Ze escaleerden naar root via een kwaadaardige CSV-upload, creëerden een verborgen ’troot’-account in /etc/passwd en /etc/shadow, verwijderden vervolgens elk bestand dat ze aanraakten en voerden een validatiescript uit om te bevestigen dat hun indicatoren verdwenen waren.”
Google wees erop dat deze activiteit opnieuw de “aanhoudende trend” benadrukt van slechte actoren die zero-days in edge-apparaten zoals SD-WAN bewapenen, omdat ze niet over de telemetrie beschikken die nodig is voor diepgaande forensische analyse.
“Geavanceerde tegenstanders blijven zich vooral richten op en exploiteren van netwerkapparaten en andere systemen die niet standaard EDR-oplossingen ondersteunen”, zegt Charles Carmakal, chief technology officer van Mandiant Consulting, in een bericht op LinkedIn.
