返回
快讯

Cisco Catalyst SD-WAN Zero-Day CVE-2026-20245 被利用取得 root 访问

Google-owned Mandiant 发现,未知威胁行为者在 CVE-2026-20245 公布前至少两个月,将其作为 zero-day 利用,借此提升权限并取得 Cisco Catalyst SD-WAN 设备的 root 访问。

CVE-2026-20245CVE-2026-20127CVE-2026-20182

根据 Google-owned Mandiant 的新发现,未知威胁行为者在一项最近公开、严重性很高的 Cisco Catalyst SD-WAN 安全漏洞被公开披露前至少两个月,就已将其作为 zero-day 加以利用。

该漏洞被追踪为 CVE-2026-20245(CVSS score: 7.8),允许经过身份验证的本地攻击者,通过向受影响系统提供一个经过精心构造的文件,并利用设备对用户提供输入的校验不足,以较高权限执行任意命令。

就在本月较早时候,Cisco 承认已知悉该漏洞正在被利用,并补充说,恶意行为者必须在受影响系统上拥有 netadmin privileges,才能成功发动攻击。

Mandiant 研究员 Chester Sng、Pete Boonyakarn 和 Logeswaran Nadarajan 说:“在整个入侵过程中,为了维持 operational security 并避免被发现,威胁行为者持续采用 anti-forensic techniques,有选择地删除并恢复他们在活动期间修改过的系统配置文件。”

这家科技巨头的 incident response 和 threat intelligence 部门补充说,这起事件针对的是一家未具名的 communications service provider,目的是将一个被入侵的 admin account 提升到完整的 root-level access。

目前已检测到两个不同的未授权活动时期:一个发生在 2025 年末至 2026 年 1 月之间,另一个发生在 2026 年 3 月。现阶段尚不清楚这两起事件是否有关联,以及是否由同一个 threat actor 所为。

在第一波活动中,受害者据称遭遇了未授权的 peering connections,这些连接很可能利用了 Cisco Catalyst SD-WAN controllers 中两个 authentication bypass 漏洞之一(CVE-2026-20127 或 CVE-2026-20182)。值得注意的是,这两个 security vulnerabilities 当时都还是未公开的 zero-days。

随后在 2026 年 3 月,第二波 rogue peering connections 针对了一台运行较新 software version、且已针对 CVE-2026-20127 打上补丁的设备。Cisco 此后确认,这些连接并未利用 CVE-2026-20182,这让人怀疑攻击者——无论其是否就是先前未授权 peering connections 的幕后黑手——是借助同一设备在先前一次入侵中窃取的 certificates 来获得初始访问。

Mandiant 表示:“随后,攻击者在通过恶意 CSV 文件上传(evil_tenant.csv)将 CVE-2026-20245 作为 zero-day 加以利用之前,先更改了默认 admin credentials。这个 exploit 使他们能够提升权限,并创建一个 rogue user account(名为 'troot'),获得完整的 root-level shell control。”

研究人员还发现,攻击者一贯通过删除其创建的文件、撤销 configuration changes,以及运行 scripts 来掩盖踪迹,确保不留下任何 evidence,并限制 defenders 评估此次 compromise 全部范围的能力。

Google Threat Intelligence Group(GTIG)首席 threat analyst Austin Larsen 说:“在更改默认 admin password 并 exfiltrating the SD-WAN fabric configuration 之后,攻击者又把 password 改回原值,这样即使 administrator 登录也不会发现任何异常。”

“他们通过恶意 CSV 上传提升到 root,在 /etc/passwd 和 /etc/shadow 中创建了一个隐藏的 'troot' account,然后删除了他们触碰过的每个文件,并运行 validation script 来确认他们的 indicators 已被清除。”

Google 指出,这一活动再次凸显出不良行为者利用 zero-days 攻击 SD-WAN 等边缘设备的“持续趋势”,因为这些设备缺乏进行深入 forensic analysis 所需的 telemetry,而在这些系统中站稳脚跟,便可持续观察 fabric 中的 internal traffic。

Mandiant Consulting chief technology officer Charles Carmakal 在 LinkedIn 的一则帖子中说:“先进的对手继续主要针对并利用 network devices 以及其他原生不支持 EDR solutions 的系统。”