A Mandiant, empresa de inteligência em ameaças do Google Cloud, documentou um ataque que utilizou uma vulnerabilidade zero-day no Cisco Catalyst SD-WAN Manager para escalonar privilégios de uma conta administrativa comprometida para acesso root. O caso, detalhado hoje no blog do Google Cloud no dia 25 de junho, revela técnicas empregadas por atacantes para manter sigilo operacional em infraestruturas de redes definidas por software (SD-WAN).
O invasor obteve acesso inicial em março de 2026 por meio de conexões de peering não autorizadas e, em seguida, alterou a senha da conta admin padrão para evitar a detecção. A exploração da vulnerabilidade CVE-2026-20245 ocorreu através do upload de um arquivo CSV malicioso contendo um payload que adicionou um usuário root de backdoor (troot) aos arquivos “/ etc/ passwd e / etc/ shadow”. Segundo os pesquisadores Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan, o atacante executou o comando “request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0” para desencadear a falha, que existe na interface de linha de comando do Cisco Catalyst SD-WAN Controllers e permite que um atacante autenticado execute comandos arbitrários como root.
Táticas de evasão e anti-forense
O atacante demonstrou cuidado operacional, criando backups dos arquivos originais do sistema para restaurá-los após a exploração e removendo todos os arquivos criados. Uma técnica notável foi a reversão da senha da conta admin ao estado original antes de encerrar a sessão, dificultando a detecção por administradores em operações diárias. A Mandiant também observou a execução de um script de validação para verificar se todos os indicadores de sua atividade haviam sido removidos.
Os pesquisadores destacam que a campanha ilustra o paradigma “living off the edge”, no qual os atacantes priorizam o comprometimento de dispositivos de rede para contornar perímetros de segurança tradicionais. O Google Threat Intelligence Group tem monitorado de perto o aumento da exploração de vulnerabilidades zero-day em dispositivos de borda nos últimos anos.
Remediação e recomendações
A Cisco já publicou correções para a CVE-2026-20245 nas versões 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2 ou posteriores do Cisco Catalyst SD-WAN Manager. A Mandiant recomenda que organizações realizem uma caça a ameaças buscando conexões SSH não autorizadas com a conta vmanage-admin, alterações suspeitas de senha e execuções do comando su para contas não autorizadas. Os logs de autenticação e o histórico de comandos da Viptela CLI devem ser auditados para identificar atividades anômalas.
O que é Peering
Em uma estrutura SD-WAN, o peering é o processo lógico de estabelecer uma relação confiável e autenticada entre componentes de rede distintos, como roteadores de borda, hubs regionais e controladores centrais.
