Cisco Catalyst SD-WAN: zero-day CVE-2026-20245 já era explorado meses antes da divulgação, revela Mandiant

Resumo: uma falha CVE-2026-20245 (CVSS 7.8) no Cisco Catalyst SD-WAN foi explorada como zero-day por pelo menos dois meses antes da divulgação pública, segundo investigação publicada pelo Mandiant (Google) em 25 de junho. O alvo: um provedor de comunicações (telecom). O modus operandi inclui upload de um CSV malicioso (evil_tenant.csv) para escalar privilégios até root, criação de uma conta oculta chamada troot em /etc/passwd e /etc/shadow, exfiltração da configuração do fabric SD-WAN e anti-forense agressiva para apagar rastros.

O que aconteceu

O CVE-2026-20245 permite que um atacante autenticado e local execute comandos arbitrários com privilégios elevados ao enviar um arquivo especialmente preparado a um sistema vulnerável. O bug é a clássica validação insuficiente de input do usuário: o controlador Catalyst SD-WAN aceitava o CSV e o processava sem sanitização, permitindo injeção de comandos no contexto de root.

Cisco já havia confirmado, no início de junho, ter conhecimento de exploração ativa contra a vulnerabilidade — esclarecendo que o atacante precisaria, antes de tudo, deter privilégios netadmin no sistema afetado. O ponto novo do relatório do Mandiant é o detalhamento da cadeia completa, da invasão à persistência, em um cliente real do setor de telecomunicações.

O time de resposta a incidentes da Mandiant identificou duas janelas distintas de atividade não autorizada: uma entre o fim de 2025 e janeiro de 2026, outra em março de 2026. Ainda não é possível dizer se o mesmo grupo atuou nas duas ondas, mas o padrão técnico sugere o mesmo operador — ou, no mínimo, um arsenal comum.

Como a cadeia de ataque funcionou

Na primeira onda, a vítima observou conexões de peering não autorizadas. O Mandiant atribui essas conexões a uma de duas falhas de bypass de autenticação nos controladores Catalyst SD-WAN: CVE-2026-20127 ou CVE-2026-20182. Ambos eram, na ocasião, zero-days não divulgados. O peering rogue permitia inserir o controlador do atacante na malha SD-WAN da vítima.

Em março de 2026, uma segunda onda atingiu um equipamento já atualizado contra o CVE-2026-20127 — mas que continuava exposto. A Cisco confirmou que essas conexões não exploraram o 20127 nem o 20182 nessa fase. O caminho de entrada permanece sob investigação, mas tudo indica que o atacante achou um vetor adicional ou usou credenciais previamente roubadas.

A partir daí, o operador alterou as credenciais padrão de admin, explorou o CVE-2026-20245 enviando o arquivo malicioso evil_tenant.csv e ganhou shell root completo. Em seguida criou a conta sombra troot diretamente nos arquivos /etc/passwd e /etc/shadow — fora dos fluxos administrativos normais do SD-WAN Manager — para garantir persistência fora do raio de auditoria.

O atacante alterou as credenciais default de admin antes de explorar o CVE-2026-20245 como zero-day via upload de um CSV malicioso (evil_tenant.csv). Esse exploit permitiu escalar privilégios e criar uma conta rogue (‘troot’) com shell de root completo.

Mandiant

Anti-forense: o detalhe que assusta

O que diferencia esta intrusão de uma campanha oportunista é o cuidado operacional. Segundo Austin Larsen, analista principal do Google Threat Intelligence Group (GTIG), depois de alterar a senha do admin e exfiltrar a configuração da malha SD-WAN, o atacante restaurou a senha original. Um administrador que logasse depois não veria nada de errado. Os arquivos criados foram seletivamente apagados, modificações de configuração foram revertidas e scripts de validação foram executados para confirmar que nenhum indicador permanecia.

• Reversão de mudanças de configuração no SD-WAN Manager
• Restauração da senha de admin para o valor original
• Remoção dos arquivos enviados durante a invasão (incluindo o próprio evil_tenant.csv)
• Execução de scripts de verificação para confirmar limpeza dos IOCs
• Manutenção da conta backdoor troot em /etc/passwd//etc/shadow como acesso de retorno

Por que importa

O ponto que o Google reforça é amplo: edge devices como controladores SD-WAN, firewalls de borda e gateways VPN tornaram-se o alvo número um de atacantes avançados. A razão é simples — não suportam EDR nativo, não geram telemetria de processo, raramente têm baseline de file integrity e ainda assim controlam a totalidade do tráfego corporativo entre filiais, nuvem e datacenter. Para um operador APT, um foothold no controlador SD-WAN é praticamente um sniffer onipresente combinado com canal de redirecionamento.

Adversários avançados continuam atacando primariamente dispositivos de rede e outros sistemas que não suportam soluções de EDR nativamente.

Charles Carmakal, CTO do Mandiant Consulting

Análise: o terceiro CVE de uma sequência preocupante

É a terceira vulnerabilidade explorada na mesma plataforma em poucos meses: CVE-2026-20127 e CVE-2026-20182 já apareceram em maio, ambos como zero-days. O CVE-2026-20245 entra agora na fila — e o detalhe relevante é que ele exige privilégios netadmin, ou seja, é o “segundo round” da cadeia. O atacante precisa primeiro entrar (via 20127, via 20182, via credencial vazada ou via comprometimento de admin) para depois pivotar para root via 20245. Não é casual: o relatório do Mandiant mostra um operador encadeando todas essas peças com pleno conhecimento da plataforma.

Outro padrão claro: o setor de telecom é alvo preferencial. Provedores de serviço operam fabricas SD-WAN que carregam tráfego de centenas de clientes corporativos. Um controlador comprometido pode dar visibilidade lateral a múltiplas redes — o sonho de qualquer operação de espionagem. Veja o paralelo com Volt Typhoon, Salt Typhoon e UNC3886: todos têm como alvo prioritário equipamentos de rede de telecoms e ISPs, justamente pela posição privilegiada na cadeia.

Para CISOs no Brasil, o sinal é claro: o “edge” não é mais perímetro defensivo, é alvo prioritário. Operadoras nacionais (Vivo, Claro, TIM, Algar, Oi, Brisanet), MSPs que entregam SD-WAN gerenciado e grandes corporativos com Catalyst SD-WAN próprio precisam tratar essa plataforma com o mesmo rigor de um domínio Active Directory: monitoramento ativo de logs, baselining de configuração, restrição rigorosa de acesso admin e revisões periódicas de IOCs específicos.

O CVE-2026-20245 tem score “apenas” 7.8, mas o impacto real depende menos do CVSS e mais do contexto: somado às falhas anteriores, ele é a peça que fecha o caminho do netadmin comprometido para o root persistente no equipamento crítico do telecom. O patch foi disponibilizado pela Cisco — quem opera o Catalyst SD-WAN não tem desculpa para deixar passar.

Recomendações práticas

• Aplique já os patches do Cisco Catalyst SD-WAN para CVE-2026-20245, CVE-2026-20127 e CVE-2026-20182. Trate como crítico mesmo se o CVSS individual sugerir o contrário — esse é um stack de falhas encadeáveis.
• Audite contas locais nos controladores SD-WAN. Procure ativamente por contas não listadas no SD-WAN Manager mas presentes em /etc/passwd e /etc/shadow. Atenção especial a usuários nomeados troot, tenant_admin, backup_admin ou variações silenciosas.
• Centralize logs do controlador SD-WAN. Encaminhe syslog para SIEM/SOAR fora do appliance. Logs locais podem ser apagados pelo atacante; logs externos não.
• Habilite e revise alertas sobre alterações de senha admin. No padrão observado pelo Mandiant, a senha foi alterada e revertida — uma sequência rápida de mudanças no mesmo usuário é IOC comportamental forte.
• Trate o controlador como ativo crítico. Acesso por jump host, MFA forte, network segmentation no plano de gestão e change windows formais com rastreamento.
• Caça de conexões de peering anômalas. Confronte a lista de peers do fabric SD-WAN com a baseline esperada. Peering não autorizado é o vetor inicial mais consistente nessas duas ondas.
• Reveja credenciais e remova qualquer admin sombra. Se houve suspeita de comprometimento, faça config rebuild em vez de tentar limpar. O custo é alto, mas a alternativa é coexistir com um operador sofisticado.

Fonte: The Hacker News.