Атака на SD-WAN Cisco: эксплуатация нулевого дня и многоэтапная антифорензика

Традиционные глобальные сети (WAN) строятся на физических маршрутизаторах с проприетарным программным обеспечением. Такая модель сложна в масштабировании и плохо адаптирована к облачным сервисам. SD-WAN решает эту проблему, отделяя управление сетью от аппаратной части. Централизованный программный контроллер позволяет управлять всей сетью из единой панели. Такие сети активно используют банки, розничные сети, IT-компании и медицинские учреждения для безопасного соединения удалённых офисов с облачными ресурсами. Пиринг - это процесс установления доверенного соединения между компонентами SD-WAN, при котором устройства обмениваются криптографическими сертификатами и автоматически строят защищённые туннели.

Атака началась с несанкционированных пиринговых подключений к устройствам SD-WAN Manager жертвы. Согласно отчёту Mandiant, эти подключения наблюдались с конца 2025 по январь 2026 года, а затем повторились в марте 2026 года. Возможно, для первого этапа использовались уязвимости CVE-2026-20127 и CVE-2026-20182, которые на тот момент не были закрыты патчами. Однако в марте пиринг произошёл на устройстве с версией ПО, не подверженной этим уязвимостям. Cisco подтвердила, что атака не эксплуатировала CVE-2026-20182; злоумышленник, вероятно, применил похищенные сертификаты с предыдущей компрометации.

Получив доступ через пиринг, злоумышленник аутентифицировался по SSH под учётной записью vmanage-admin. Он изменил пароль стандартной учётной записи admin, затем вошёл в веб-интерфейс SD-WAN Manager и выгрузил конфигурации всей сетевой инфраструктуры. После завершения сбора данных пароль admin был восстановлен в исходное состояние - это делалось, чтобы администратор не заметил изменений при повседневной работе. Учётные записи vmanage-admin и admin являются стандартными на контроллерах Cisco Catalyst SD-WAN, они обладают разными привилегиями, но ни одна из них не даёт доступ к root-оболочке.

Далее атакующий использовал свою сессию admin для эксплуатации уязвимости CVE-2026-20245. Проблема заключается в функции загрузки файлов в командной строке контроллера: она не фильтрует вредоносные данные должным образом. Злоумышленник выполнил команду request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0, передав специально сформированный CSV-файл. Внутри файла содержался эксплойт, который добавлял в системные файлы /etc/passwd и /etc/shadow новую учётную запись troot с полными root-привилегиями. Перед модификацией атакующий создал резервные копии оригинальных файлов, включая файл конфигурации vbond_vsmart_tenant_list, который должен был быть перезаписан. Это позволило позже восстановить настройки, чтобы не вызвать подозрений из-за неработающей конфигурации. После загрузки CSV злоумышленник вошёл в систему под учётной записью troot с помощью команды su.

После получения полного контроля атакующий приступил к уничтожению следов. Он удалил все созданные файлы, включая evil_tenant.csv, и восстановил изменённые системные конфигурации. Для проверки результата был запущен скрипт валидации, который проверял отсутствие файлов в /home/admin, отсутствие записи troot в /etc/passwd и /etc/shadow, а также наличие восстановленного файла vbond_vsmart_tenant_list. Таким образом атакующий минимизировал свой криминалистический след.

Эта кампания демонстрирует концепцию "жизни на грани" (living off the edge), когда злоумышленники нацеливаются на сетевое оборудование, чтобы обойти традиционные периметры безопасности. Контроллеры SD-WAN становятся приоритетной целью: они работают как "чёрный ящик", в котором сложно проводить глубокий анализ, а их центральное положение позволяет незаметно перехватывать широкий трафик предприятия. Для государственных спонсируемых группировок эксплуатация zero-day уязвимостей в таких платформах остаётся ключевым вектором долгосрочного сбора разведывательных данных.

Помимо CVE-2026-20245, Cisco раскрыла две критические уязвимости в механизме пиринга контроллеров Catalyst SD-WAN: CVE-2026-20127 и CVE-2026-20182. Они позволяют неаутентифицированному удалённому злоумышленнику обойти аутентификацию и получить административные привилегии. Наличие этих уязвимостей в период атаки могло облегчить начальный доступ.

Для защиты организаций необходимо в первую очередь установить обновления прошивки Cisco Catalyst SD-WAN Manager до версий 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2 или более новых, в которых устранена CVE-2026-20245. Следует собрать логи и диагностические данные со всех компонентов управления (команда request admin-tech) и проверить их на наличие индикаторов компрометации. При обнаружении подозрительной активности необходимо обратиться в центр технической поддержки Cisco. Также рекомендуется внедрить руководство по усилению безопасности Cisco Catalyst SD-WAN, которое описывает настройку защиты плоскостей управления, контроля и данных.

Атака подтверждает тенденцию перехода киберпреступников от эксплуатации конечных точек к компрометации сетевой инфраструктуры. Организациям, использующим SD-WAN, следует рассматривать контроллеры как критически важные активы и применять к ним усиленные меры мониторинга и управления уязвимостями.

IPv4

• 126.51.108.152
• 153.186.231.233
• 167.179.79.189
• 207.190.37.94
• 209.137.225.101
• 23.245.7.178
• 45.32.38.160
• 76.92.245.217

SHA256

• b82936f37648518425c7d3cf9e09eaffa41d7cdb3840f6a40287e3a108880f7b