architect

Explotación de día cero de la vulnerabilidad (CVE-2026-20245) en Cisco Catalyst SD-WAN Manager

Fuente: cloudblog.withgoogle.com 12 min de lectura

Compartir

Explotación de día cero de la vulnerabilidad (CVE-2026-20245) en Cisco Catalyst SD-WAN Manager

Estás leyendo un resumen. El contenido completo está en cloudblog.withgoogle.com.

Escrito por: Chester Sng, Pete Boonyakarn, Logeswaran Nadarajan Introducción A principios de 2026, Mandiant identificó a un actor de amenazas que atacaba la infraestructura de SD-WAN en un proveedor de servicios. Tras obtener acceso inicial, el actor de amenazas explotó una vulnerabilidad de día cero (CVE-2026-20245) en Cisco Catalyst SD-WAN para escalar privilegios de una cuenta administrativa comprometida a acceso a nivel raíz. La vulnerabilidad proviene de la función de carga de archivos del dispositivo que carece de la capacidad para filtrar adecuadamente datos maliciosos. A lo largo de la intrusión, para mantener la seguridad operativa y evitar la detección, el actor de amenazas empleó constantemente técnicas antiforense, eliminando y restaurando selectivamente archivos de configuración del sistema que fueron modificados durante sus actividades. Observaciones clave Peering ilegal y manipulación de credenciales: En marzo de 2026, un actor de amenazas estableció acceso inicial a través de conexiones de peering no autorizadas para facilitar el acceso de Secure Shell (SSH). El actor de amenazas utilizó ese acceso para manipular las contraseñas de cuentas predeterminadas y eludir la detección. Explotación de CVE-2026-20245: Posteriormente, el atacante aprovechó una vulnerabilidad de escalada de privilegios de día cero (ahora rastreada como CVE-2026-20245) en Cisco Catalyst SD-WAN Manager para obtener acceso a nivel raíz mediante una carga maliciosa de CSV. Amplia limpieza antiforense: El actor de amenazas eliminó archivos maliciosos, revocó cambios de configuración y ejecutó un script de validación para asegurar que se eliminaran los indicadores. ¿Qué es SD-WAN? Las redes de área amplia (WAN) tradicionales dependen en gran medida de enrutadores de hardware físico y propietario para dirigir el tráfico. Este modelo suele ser rígido, complicado de escalar y tiene dificultades para manejar las demandas de la computación en la nube moderna. La Red de Área Amplia Definida por Software (SD-WAN) resuelve esto al desacoplar la gestión de red y la lógica de control del hardware físico subyacente. En lugar de configurar enrutadores individuales uno por uno, se utiliza un controlador de software centralizado para orquestar toda la red desde un único tablero de control. Los SD-WAN son utilizados por organizaciones altamente distribuidas, como bancos, corporaciones minoristas, servicios tecnológicos y proveedores de atención médica, para conectar de manera segura múltiples sucursales remotas directamente a servicios en la nube central. ¿Qué es Peering? Dentro de un tejido SD-WAN, el peering es el proceso lógico de establecer una relación de confianza y autenticación entre distintos componentes de red, como enrutadores de borde, centros regionales y controladores centrales. Antes de que se pueda transmitir de manera segura cualquier dato a través del tejido de red, estos dispositivos deben realizar un apretón de manos digital. Durante la fase de peering, los dispositivos se autentican mutuamente utilizando certificados criptográficos. Una vez que la identidad y la confianza se verifican, intercambian tablas de enrutamiento subyacentes y construyen automáticamente túneles seguros para facilitar el transporte seguro de datos. Vulnerabilidades adicionales en controladores de Cisco Catalyst SD-WAN CVE-2026-20127 y CVE-2026-20182 son vulnerabilidades críticas que Cisco reveló recientemente y que afectan el mecanismo de autenticación de peering para los controladores de Cisco Catalyst SD-WAN. Ambas vulnerabilidades podrían permitir a un atacante remoto no autenticado eludir la autenticación y obtener privilegios administrativos. Resumen de la campaña de intrusión Acceso inicial mediante conexiones de peering ilegales Desde finales de 2025 hasta enero de 2026, Mandiant observó múltiples conexiones de peering no autorizadas a los dispositivos SD-WAN Manager de la víctima. Es posible que estas conexiones hayan ocurrido debido a la explotación de CVE-2026-20127 o CVE-2026-20182, ya que las vulnerabilidades no fueron reveladas y no había parches disponibles durante ese período. A partir de marzo de 2026, se observaron más conexiones de peering no autorizadas en un dispositivo que ejecutaba una versión de software no afectada por CVE-2026-20127. Sin embargo, Cisco confirmó que estas conexiones tampoco aprovecharon CVE-2026-20182 y podrían estar utilizando material de certificado robado de una compensación anterior del mismo dispositivo. No está claro si el mismo actor de amenazas fue responsable de la actividad de peering ilegal entre finales de 2025 y enero de 2026 y de marzo de 2026. Autenticaciones exitosas mediante la alteración de la contraseña de la cuenta de administrador En marzo de 2026, el actor de amenazas estableció nuevas conexiones de peering ilegales y se autenticó con éxito en el dispositivo SD-WAN Manager a través de SSH utilizando la cuenta vmanage-admin en los mismos dispositivos objetivos. Una vez autenticado por SSH, el actor de amenazas ejecutó comandos para cambiar la contraseña de la cuenta administrativa predeterminada. El actor de amenazas se autenticó directamente en la interfaz de la aplicación web del SD-WAN Manager utilizando la cuenta de administrador y exfiltró configuraciones del tejido SD-WAN. El actor de amenazas utilizó posteriormente su sesión activa de vmanage-admin para cambiar la contraseña de la cuenta de administrador de regreso a su estado original antes de terminar su sesión activa. Esta actividad fue probablemente realizada para reducir la probabilidad de detección por parte de un administrador que intentara acceder al dispositivo durante las operaciones diarias. Las cuentas vmanage-admin y admin son cuentas predeterminadas en los controladores de Cisco Catalyst SD-WAN que tienen diferentes privilegios, pero ninguna posee acceso a shell raíz. Explotación de CVE-2026-20245 para escalar privilegios Después de establecer una sesión SSH con la cuenta de administrador, el actor de amenazas explotó CVE-2026-20245 ejecutando el siguiente comando para cargar un archivo llamado evil_tenant.csv: request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0 CVE-2026-20245, una vulnerabilidad reportada a Cisco por Mandiant, existe en la interfaz de línea de comandos (CLI) de los controladores de Cisco Catalyst SD-WAN que podría permitir a un atacante local autenticado ejecutar comandos arbitrarios como raíz al suministrar un archivo diseñado a medida al sistema afectado. El archivo evil_tenant.csv contiene la carga útil de la explotación. El siguiente bloque de código muestra un fragmento de la explotación que intenta agregar entradas maliciosas a los archivos /etc/passwd y /etc/shadow del sistema. A través de este comando, el actor de amenazas logró lo siguiente: Hacer una copia de seguridad del archivo de configuración original vbond_vsmart_tenant_list, que habría sido sobrescrito por el contenido de evil_tenant.csv durante la explotación. Esta copia de seguridad fue probablemente creada para permitir al actor restaurar el archivo más tarde, asegurando que el dispositivo SD-WAN Manager no cargara una configuración inválida que pudiera alertar a los administradores. Crear copias de seguridad de los archivos originales /etc/passwd y /etc/shadow. Crear una cuenta de usuario llamada troot con privilegios de raíz completos. Mandiant observó posteriormente al actor de amenazas accediendo a esta nueva cuenta troot desde la cuenta de administrador mediante el comando su (sustituir usuario). Técnicas antiforenses Mandiant identificó que el actor de amenazas eliminó todos los archivos que creó, incluido evil_tenant.csv, y restauró cualquier configuración del sistema que modificó. Estas eliminaciones y modificaciones se realizaron para minimizar su huella forense. Además de esto, Mandiant también observó la ejecución de un script de validación, que verifica si se han eliminado los indicadores de las actividades del actor de amenazas. Este script verifica la presencia de lo siguiente: Archivos creados por el actor de amenazas en /home/admin. Cuenta troot en los archivos passwd y shadow. vbond_vsmart_tenant_list, y si existe, inspección de información sobre el archivo. Esto es probablemente para verificar si el archivo original fue restaurado. Perspectivas e implicaciones Esta campaña subraya el paradigma de vivir en el borde, donde los actores de amenazas priorizan el compromiso de los dispositivos de red para eludir perímetros de seguridad tradicionales. A medida que las organizaciones adoptan cada vez más redes definidas por software, los orquestadores que gestionan estos entornos se convierten en objetivos primarios. Estos dispositivos ofrecen un entorno de caja negra para los actores de amenazas: a menudo carecen de la telemetría requerida para un análisis forense profundo, y su papel como plano de control central proporciona una plataforma discreta para un acceso persistente y de amplio alcance al tráfico interno de la empresa. Para los actores patrocinados por el estado, la capacidad de explotar vulnerabilidades de día cero en estas plataformas sigue siendo un vector principal para la recopilación de inteligencia estratégica a largo plazo. El Grupo de Inteligencia de Amenazas de Google (GTIG) ha seguido de cerca y reportado sobre el aumento de la explotación de día cero en dispositivos de borde en los últimos años. Remediación y endurecimiento Realizar barrido de IOC / Caza de amenazas: Recopilar registros y datos de diagnóstico de los dispositivos SD-WAN ejecutando el comando request admin-tech en todos los componentes del plano de control. Escanear estas colecciones en busca de IOCs conocidos y ejecutar cacerías de amenazas centradas en las TTPs identificadas en la sección de Detecciones y Caza de esta publicación de blog. Si se observan verdaderos positivos, realizar una investigación completa. Soporte de remediación manual: Según la orientación de Cisco, cualquier indicador de compromiso o actividad sospechosa confirmada debe ser enviado al Centro de Asistencia Técnica (TAC) de Cisco para una revisión integral y asistencia en la remediación. Priorizar parches y actualizaciones inmediatas: Las organizaciones deben priorizar la actualización del Cisco Catalyst SD-WAN Manager a versiones de software corregidas, específicamente versiones 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2, o posteriores, para remediar CVE-2026-20245. Implementar las Directrices de Endurecimiento y Registro de Cisco Catalyst SD-WAN: Las organizaciones deben seguir las prácticas de seguridad y estándares de configuración detallados en la Guía de Endurecimiento de Cisco Catalyst SD-WAN. Esta guía proporciona un robusto marco de defensa en profundidad para asegurar todos los componentes SD-WAN, incluidos los planos de gestión, control y datos contra accesos no autorizados. Indicadores de Compromiso (IOCs) Para ayudar a la comunidad más amplia en la caza e identificación de la actividad descrita en esta publicación de blog, hemos incluido indicadores de compromiso (IOCs) en una colección gratuita de GTI para usuarios registrados. Indicadores de red Descripción Indicador Dirección IP que se conecta como dispositivo ilegal y explota CVE-2026-20245 126.51.108[.]152 Dirección IP que se conecta como dispositivo ilegal 76.92.245[.]217 Dirección IP que se conecta como dispositivo ilegal 207.190.37[.]94 Dirección IP que se conecta como dispositivo ilegal 23.245.7[.]178 Dirección IP que se conecta como dispositivo ilegal 153.186.231[.]233 Dirección IP que se conecta como dispositivo ilegal 167.179.79[.]189 Dirección IP que se conecta como dispositivo ilegal 45.32.38[.]160 Dirección IP que se conecta como dispositivo ilegal 209.137.225[.]101 Indicadores de archivo Debido a la extensa limpieza antiforense del actor de amenazas, varios archivos asociados con esta intrusión fueron sobrescritos o eliminados. Sin embargo, se recuperaron restos forenses de la carga útil maliciosa de CSV. Nombre de archivo Descripción SHA256 /home/admin/.orig_vbond_vsmart_tenant_list Archivo de configuración de respaldo No recuperado /home/admin/.orig_vbond_vsmart_tenant_list.state Archivo de estado No recuperado /home/admin/.orig_passwd Archivo de respaldo de contraseñas No recuperado /home/admin/.orig_shadow Archivo de respaldo de contraseñas No recuperado /home/admin/evil_tenant.csv Resto del archivo CSV malicioso que explota CVE-2026-20245 b82936f37648518425c7d3cf9e09eaffa41d7cdb3840f6a40287e3a108880f7b Detecciones y Caza Mandiant alienta a las organizaciones a realizar cacerías de amenazas proactivas centradas en las tácticas, técnicas y procedimientos (TTPs) descritos en este informe para identificar actividades que de otro modo pueden mezclarse en operaciones rutinarias. Debido a que ciertos indicadores de compromisos pueden reflejar acciones administrativas legítimas, es fundamental evaluar estas observaciones contra la postura de red establecida para minimizar falsos positivos. Según la orientación de Cisco, cualquier actividad sospechosa o IOCs confirmados deben ser enviados al TAC de Cisco para revisión y asistencia integral. Conexiones SSH no autorizadas como vmanage-admin Monitorear los registros de autenticación (/var/log/auth.log) para inicios de sesión provenientes de direcciones IP externas inesperadas utilizando la cuenta de usuario vmanage-admin. 01 de enero 07:58:00 vManage sshd[20766]: Clave pública aceptada para vmanage-admin desde <Dirección IP del Actor de Amenazas> puerto 48373 ssh2: RSA SHA256:<redactado> 01 de enero 08:01:00 vManage sshd[25178]: Aceptado keyboard-interactive/pam para admin desde <Dirección IP del Actor de Amenazas> puerto 60552 ssh2 Eventos sospechosos de cambio de contraseña Auditar los cambios de contraseña en /var/log/auth.log dirigidos a la cuenta de administrador en rápida sucesión, particularmente donde las credenciales son establecidas y posteriormente revertidas. 01 de enero 08:00:00 vManage usermod[12345]: cambiar la contraseña del usuario 'admin' 01 de enero 08:15:00 vManage usermod[12345]: cambiar la contraseña del usuario 'admin' Los defensores también deben inspeccionar los archivos de reversión presentes en /var/confd/rollback/ por compromisos de doble delta dirigidos a las contraseñas de usuario: # Creado por: vmanage-admin # Fecha: 2026-01-01 08:00:00 # A través de: netconf # Tipo: delta # Etiqueta: # Comentario: # No: 10000 # TransactionId: 12345678 # Nombre del host: sistema vManage { aaa { usuario admin { contraseña <redactado>; } } } Ejecuciones sospechosas del comando su Auditar el historial de comandos del terminal y los registros del sistema (/var/log/auth.log) en busca de ejecuciones exitosas de cambiar de usuario (su) desde la cuenta de administrador a cuentas no autorizadas (por ejemplo, troot). 01 de enero 08:03:00 vManage su[24289]: Cambio exitoso para troot por admin Explotación de CVE-2026-20245 Monitorear los registros de scripts (/var/log/scripts.log) en busca de anomalías en la ejecución relacionadas con la ejecución no autorizada de vconfd_script_upload_tenant_list.sh. 01 de enero 08:01:05 vManage vScript: Carga del listado de inquilinos según el número de serie de vsmart: /usr/bin/vconfd_script_upload_tenant_list.sh -cli ruta /home/admin/evil_tenant.csv vpn 0 01 de enero 08:01:05 vManage vScript: cargando el listado de inquilinos a través de VPN 0 verdadero 01 de enero 08:01:05 vManage vScript: Copiando ... /home/admin/evil_tenant.csv a través de VPN 0 01 de enero 08:01:05 vManage vScript: Archivo de ubicación de inquilinos cargado con éxito Los defensores también pueden consultar el historial de ejecución de comandos activos utilizando show history dentro de la CLI de Viptela para los comandos de carga administrativa específicos: 01-01 08:01:05 -- request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0 Google Security Operations (SecOps) Los clientes de Google SecOps tienen acceso a estas reglas de amplia categoría y más bajo el paquete de reglas de Amenazas Emergentes de Mandiant. La actividad discutida en esta publicación de blog se detecta en Google SecOps bajo los nombres de reglas: Cuenta privilegiada Agregar a la base de datos de passwd Grep Descubrimiento de usuario privilegiado en passwd o shadow Copia oculta de archivos de sistema sensibles Reconocimiento de copia sospechosa de Usr Share a directorio de usuario Agradecimientos Mandiant agradece al Equipo de Respuesta a Incidentes de Seguridad de Productos de Cisco (PSIRT) por su colaboración y asociación durante todo el proceso de divulgación coordinada.

Leer el artículo completo en el sitio original

Enlace externo a cloudblog.withgoogle.com

Artículos relacionados