26 de junho de 2026

Cisco Catalyst SD-WAN: zero-day CVE-2026-20245 já era explorado meses antes da divulgação, revela Mandiant

26 de junho de 2026

Investigação do Mandiant mostra que um operador desconhecido encadeou três zero-days em controladores Cisco Catalyst SD-WAN (CVE-2026-20127, -20182 e -20245) para escalar privilégios até root e criar uma conta sombra ‘troot’ em /etc/passwd. Alvo: provedor de telecomunicações, com anti-forense rigorosa.

Logo da Cisco representando falha crítica em SD-WAN

Resumo: uma falha CVE-2026-20245 (CVSS 7.8) no Cisco Catalyst SD-WAN foi explorada como zero-day por pelo menos dois meses antes da divulgação pública, segundo investigação publicada pelo Mandiant (Google) em 25 de junho. O alvo: um provedor de comunicações (telecom). O modus operandi inclui upload de um CSV malicioso (evil_tenant.csv) para escalar privilégios até root, criação de uma conta oculta chamada troot em /etc/passwd e /etc/shadow, exfiltração da configuração do fabric SD-WAN e anti-forense agressiva para apagar rastros.

O que aconteceu

O CVE-2026-20245 permite que um atacante autenticado e local execute comandos arbitrários com privilégios elevados ao enviar um arquivo especialmente preparado a um sistema vulnerável. O bug é a clássica validação insuficiente de input do usuário: o controlador Catalyst SD-WAN aceitava o CSV e o processava sem sanitização, permitindo injeção de comandos no contexto de root.

Cisco já havia confirmado, no início de junho, ter conhecimento de exploração ativa contra a vulnerabilidade — esclarecendo que o atacante precisaria, antes de tudo, deter privilégios netadmin no sistema afetado. O ponto novo do relatório do Mandiant é o detalhamento da cadeia completa, da invasão à persistência, em um cliente real do setor de telecomunicações.

O time de resposta a incidentes da Mandiant identificou duas janelas distintas de atividade não autorizada: uma entre o fim de 2025 e janeiro de 2026, outra em março de 2026. Ainda não é possível dizer se o mesmo grupo atuou nas duas ondas, mas o padrão técnico sugere o mesmo operador — ou, no mínimo, um arsenal comum.

Como a cadeia de ataque funcionou

Na primeira onda, a vítima observou conexões de peering não autorizadas. O Mandiant atribui essas conexões a uma de duas falhas de bypass de autenticação nos controladores Catalyst SD-WAN: CVE-2026-20127 ou CVE-2026-20182. Ambos eram, na ocasião, zero-days não divulgados. O peering rogue permitia inserir o controlador do atacante na malha SD-WAN da vítima.

Em março de 2026, uma segunda onda atingiu um equipamento já atualizado contra o CVE-2026-20127 — mas que continuava exposto. A Cisco confirmou que essas conexões não exploraram o 20127 nem o 20182 nessa fase. O caminho de entrada permanece sob investigação, mas tudo indica que o atacante achou um vetor adicional ou usou credenciais previamente roubadas.

A partir daí, o operador alterou as credenciais padrão de admin, explorou o CVE-2026-20245 enviando o arquivo malicioso evil_tenant.csv e ganhou shell root completo. Em seguida criou a conta sombra troot diretamente nos arquivos /etc/passwd e /etc/shadow — fora dos fluxos administrativos normais do SD-WAN Manager — para garantir persistência fora do raio de auditoria.

O atacante alterou as credenciais default de admin antes de explorar o CVE-2026-20245 como zero-day via upload de um CSV malicioso (evil_tenant.csv). Esse exploit permitiu escalar privilégios e criar uma conta rogue (‘troot’) com shell de root completo.

Mandiant

Anti-forense: o detalhe que assusta

O que diferencia esta intrusão de uma campanha oportunista é o cuidado operacional. Segundo Austin Larsen, analista principal do Google Threat Intelligence Group (GTIG), depois de alterar a senha do admin e exfiltrar a configuração da malha SD-WAN, o atacante restaurou a senha original. Um administrador que logasse depois não veria nada de errado. Os arquivos criados foram seletivamente apagados, modificações de configuração foram revertidas e scripts de validação foram executados para confirmar que nenhum indicador permanecia.

  • Reversão de mudanças de configuração no SD-WAN Manager
  • Restauração da senha de admin para o valor original
  • Remoção dos arquivos enviados durante a invasão (incluindo o próprio evil_tenant.csv)
  • Execução de scripts de verificação para confirmar limpeza dos IOCs
  • Manutenção da conta backdoor troot em /etc/passwd//etc/shadow como acesso de retorno

Por que importa

O ponto que o Google reforça é amplo: edge devices como controladores SD-WAN, firewalls de borda e gateways VPN tornaram-se o alvo número um de atacantes avançados. A razão é simples — não suportam EDR nativo, não geram telemetria de processo, raramente têm baseline de file integrity e ainda assim controlam a totalidade do tráfego corporativo entre filiais, nuvem e datacenter. Para um operador APT, um foothold no controlador SD-WAN é praticamente um sniffer onipresente combinado com canal de redirecionamento.

Adversários avançados continuam atacando primariamente dispositivos de rede e outros sistemas que não suportam soluções de EDR nativamente.

Charles Carmakal, CTO do Mandiant Consulting

Análise: o terceiro CVE de uma sequência preocupante

É a terceira vulnerabilidade explorada na mesma plataforma em poucos meses: CVE-2026-20127 e CVE-2026-20182 já apareceram em maio, ambos como zero-days. O CVE-2026-20245 entra agora na fila — e o detalhe relevante é que ele exige privilégios netadmin, ou seja, é o “segundo round” da cadeia. O atacante precisa primeiro entrar (via 20127, via 20182, via credencial vazada ou via comprometimento de admin) para depois pivotar para root via 20245. Não é casual: o relatório do Mandiant mostra um operador encadeando todas essas peças com pleno conhecimento da plataforma.

Outro padrão claro: o setor de telecom é alvo preferencial. Provedores de serviço operam fabricas SD-WAN que carregam tráfego de centenas de clientes corporativos. Um controlador comprometido pode dar visibilidade lateral a múltiplas redes — o sonho de qualquer operação de espionagem. Veja o paralelo com Volt Typhoon, Salt Typhoon e UNC3886: todos têm como alvo prioritário equipamentos de rede de telecoms e ISPs, justamente pela posição privilegiada na cadeia.

Para CISOs no Brasil, o sinal é claro: o “edge” não é mais perímetro defensivo, é alvo prioritário. Operadoras nacionais (Vivo, Claro, TIM, Algar, Oi, Brisanet), MSPs que entregam SD-WAN gerenciado e grandes corporativos com Catalyst SD-WAN próprio precisam tratar essa plataforma com o mesmo rigor de um domínio Active Directory: monitoramento ativo de logs, baselining de configuração, restrição rigorosa de acesso admin e revisões periódicas de IOCs específicos.

O CVE-2026-20245 tem score “apenas” 7.8, mas o impacto real depende menos do CVSS e mais do contexto: somado às falhas anteriores, ele é a peça que fecha o caminho do netadmin comprometido para o root persistente no equipamento crítico do telecom. O patch foi disponibilizado pela Cisco — quem opera o Catalyst SD-WAN não tem desculpa para deixar passar.

Recomendações práticas

  • Aplique já os patches do Cisco Catalyst SD-WAN para CVE-2026-20245, CVE-2026-20127 e CVE-2026-20182. Trate como crítico mesmo se o CVSS individual sugerir o contrário — esse é um stack de falhas encadeáveis.
  • Audite contas locais nos controladores SD-WAN. Procure ativamente por contas não listadas no SD-WAN Manager mas presentes em /etc/passwd e /etc/shadow. Atenção especial a usuários nomeados troot, tenant_admin, backup_admin ou variações silenciosas.
  • Centralize logs do controlador SD-WAN. Encaminhe syslog para SIEM/SOAR fora do appliance. Logs locais podem ser apagados pelo atacante; logs externos não.
  • Habilite e revise alertas sobre alterações de senha admin. No padrão observado pelo Mandiant, a senha foi alterada e revertida — uma sequência rápida de mudanças no mesmo usuário é IOC comportamental forte.
  • Trate o controlador como ativo crítico. Acesso por jump host, MFA forte, network segmentation no plano de gestão e change windows formais com rastreamento.
  • Caça de conexões de peering anômalas. Confronte a lista de peers do fabric SD-WAN com a baseline esperada. Peering não autorizado é o vetor inicial mais consistente nessas duas ondas.
  • Reveja credenciais e remova qualquer admin sombra. Se houve suspeita de comprometimento, faça config rebuild em vez de tentar limpar. O custo é alto, mas a alternativa é coexistir com um operador sofisticado.

Fonte: The Hacker News.

Matérias Relacionadas

tencshell-china

TinyRCT: backdoor inédita de grupo chinês atinge infraestrutura crítica no Sudeste Asiático

26 de junho de 2026
ta4922-phishing

Mirage2FA: kit de phishing usa HTML smuggling para sequestrar contas Microsoft 365 e burlar MFA

26 de junho de 2026
Fragnesia Linux kernel CVE-2026-46300

Exploit pedit COW (CVE-2026-46331): falha no kernel Linux libera root local envenenando o page cache

26 de junho de 2026

Veja mais..

Logo da Cisco representando falha crítica em SD-WAN

Cisco Catalyst SD-WAN: zero-day CVE-2026-20245 já era explorado meses antes da divulgação, revela Mandiant

26 de junho de 2026
tencshell-china

TinyRCT: backdoor inédita de grupo chinês atinge infraestrutura crítica no Sudeste Asiático

26 de junho de 2026
ta4922-phishing

Mirage2FA: kit de phishing usa HTML smuggling para sequestrar contas Microsoft 365 e burlar MFA

26 de junho de 2026
Fragnesia Linux kernel CVE-2026-46300

Exploit pedit COW (CVE-2026-46331): falha no kernel Linux libera root local envenenando o page cache

26 de junho de 2026
whatsapp-scam-warning

WhatsApp passa a exibir tela de aviso antes de conversas com números desconhecidos

25 de junho de 2026
Social Media Auto Publish Powered By : XYZScripts.com