architect

Nulladikás kihasználás a Cisco Catalyst SD-WAN Managerben található sérülékenységen (CVE-2026-20245)

Forrás: cloudblog.withgoogle.com 10 perc olvasás

Megosztás

Nulladikás kihasználás a Cisco Catalyst SD-WAN Managerben található sérülékenységen (CVE-2026-20245)

Összefoglalót olvas. A teljes tartalom itt érhető el: cloudblog.withgoogle.com.

Chester Sng, Pete Boonyakarn, Logeswaran Nadarajan által írt Bevezetés 2026 elején a Mandiant azonosított egy fenyegető szereplőt, aki SD-WAN infrastruktúrát céloz meg egy szolgáltatónál. Miután kezdeti hozzáférést nyert, a fenyegető szereplő kihasználta a Cisco Catalyst SD-WAN-ban található nulladik napi sebezhetőséget (CVE-2026-20245), hogy jogosultságokat emeljen egy megszorult rendszergazda fiókból gyökér szintű hozzáférésre. A sebezhetőség az eszköz fájl feltöltési funkciójából ered, mely nem képes megfelelően kiszűrni a rosszindulatú adatokat. Az incidenst végig követve, a működési biztonság megőrzése és a felfedezés elkerülése érdekében a fenyegető szereplő folyamatosan alkalmazta az anti-forenzikus technikákat, szelektíven törölve és visszaállítva a rendszer konfigurációs fájljait, amelyeket tevékenységei során módosított. Kulcsfontosságú megfigyelések Rouge Peering és Hitelesítő adatok manipulálása: 2026 márciusában a fenyegető szereplő kezdeti hozzáférést szerzett jogosulatlan peering kapcsolatok révén, hogy Secure Shell (SSH) hozzáférést biztosítson. A fenyegető szereplő ezt a hozzáférést arra használta, hogy megváltoztassa az alapértelmezett fiók jelszavait, elkerülve a felfedezést. A CVE-2026-20245 kihasználása: Ezt követően a támadó egy nulladik napi jogosultságemelő sebezhetőséget (most már CVE-2026-20245 néven nyilvántartva) használt ki a Cisco Catalyst SD-WAN Manager-ben, hogy gyökér szintű hozzáférést nyerjen egy rosszindulatú CSV feltöltésén keresztül. Kiterjedt anti-forenzikus takarítás: A fenyegető szereplő törölte a rosszindulatú fájlokat, visszaállította a konfigurációs változtatásokat, és végrehajtott egy ellenőrző scriptet, hogy biztosítsa az indikátorok eltávolítását. Mi az SD-WAN? A hagyományos széles területű hálózatok (WAN) erősen támaszkodnak fizikai, tulajdonosi hardver routerekre a forgalom irányítására. Ez a modell gyakran merev, nehezen méretezhető, és nem képes kezelni a modern felhőalapú számítástechnika igényeit. A Szoftver Által Meghatározott Széles Területű Hálózat (SD-WAN) ezt a problémát úgy kezeli, hogy leválasztja a hálózat kezelésének és vezérlésének logikáját az alatta lévő fizikai hardverről. Ahelyett, hogy egyes routereket egyesével konfigurálnának, egy centralizált szoftvervezérlőt használnak az egész hálózat irányítására egyetlen irányítópulton keresztül. Az SD-WANokat jellemzően erősen elosztott szervezetek, például bankok, kiskereskedelmi vállalatok, technológiai szolgáltatások és egészségügyi szolgáltatók használják, hogy biztonságosan csatlakoztassák a több távoli águkat közvetlenül a központi felhőszolgáltatásokhoz. Mi a Peering? Az SD-WAN struktúrában a peering logikai folyamat, amely egy megbízható, hitelesített kapcsolat létrehozását jelenti különböző hálózati elemek, mint például külső routerek, regionális hubok és központi vezérlők között. Mielőtt bármilyen adat biztonságosan átvihető lenne a hálózati struktúrán, ezeknek az eszközöknek digitális kézfogást kell végezniük. A peering fázisban az eszközök kölcsönösen hitelesítik egymást kriptográfiai tanúsítványok felhasználásával. Amint az identitás és a bizalom megerősítésre kerül, kicserélik az alapvető útvonal táblákat és automatikusan építenek biztonságos alagutakat a biztonságos adat szállítás érdekében. További sebezhetőségek a Cisco Catalyst SD-WAN vezérlőkben A CVE-2026-20127 és a CVE-2026-20182 kritikus sebezhetőségek, amelyeket a Cisco mostanában hozott nyilvánosságra, amelyek érintik a peering hitelesítési mechanizmust a Cisco Catalyst SD-WAN vezérlők esetében. Mindkét sebezhetőség lehetővé teheti egy hitelesítetlen, távoli támadó számára, hogy megkerülje a hitelesítést és megszerezze az adminisztratív jogosultságokat. Behatolási Kampány Áttekintés Kezdeti hozzáférés a rogue peering kapcsolatok révén 2025 végétől 2026 januárjáig a Mandiant több jogosulatlan peering kapcsolatot észlelt az áldozat SD-WAN Manager eszközein. Lehetséges, hogy ezek a kapcsolatok a CVE-2026-20127 vagy a CVE-2026-20182 kihasználása miatt alakultak ki, mivel a sebezhetőségeket nem hozták nyilvánosságra, és javítások nem álltak rendelkezésre az időszak alatt. 2026 márciusától további jogosulatlan peering kapcsolatokat láttak olyan eszközön, amely egy olyan szoftververziót futtatott, amelyet nem befolyásolt a CVE-2026-20127. A Cisco azonban megerősítette, hogy ezek a kapcsolatok nem használták a CVE-2026-20182-t sem, és valószínűleg egy korábbi kompromittálásból származó ellopott tanúsítványanyagot használtak ugyanazon eszköz esetében. Nem világos, hogy ugyanaz a fenyegető szereplő felelt a 2025 végi és 2026 januári, valamint a 2026 márciusi rogue peering tevékenységért. Sikeres hitelesítések az admin fiók jelszavának módosításával 2026 márciusában a fenyegető szereplő új rogue peering kapcsolatokat hozott létre, és sikeresen hitelesített az SD-WAN Manager eszközön SSH-n keresztül az admin fiók (vmanage-admin) használatával ugyanazon áldozati eszközökön. Miután SSH-n keresztül hitelesített, a fenyegető szereplő parancsokat hajtott végre az alapértelmezett admin fiók jelszavának megváltoztatására. A fenyegető szereplő közvetlenül az SD-WAN Manager webalkalmazás felhasználói interfészéhez hitelesített az admin fiók használatával, és kiszivárogtatta az SD-WAN hálózati konfigurációit. A fenyegető szereplő ezt követően aktív vmanage-admin munkamenetét felhasználva visszaállította az admin fiók jelszavát az eredeti állapotára, mielőtt megszüntette volna aktív munkamenetét. Ez a tevékenység valószínűleg a felfedezés valószínűségének csökkentésére irányult, hogy a rendszergazda ne tudjon belépni az eszközre a napi műveletek során. A vmanage-admin és az admin fiókok a Cisco Catalyst SD-WAN vezérlők alapértelmezett fiókjai, amelyek különböző jogosultságokkal rendelkeznek, de egyik sem rendelkezik gyökérejű hozzáféréssel. A CVE-2026-20245 kihasználása a jogok emelésére Miután SSH-munkamenetet létesített az admin fiókkal, a fenyegető szereplő kihasználta a CVE-2026-20245-öt, amikor a következő parancsot hajtotta végre egy evil_tenant.csv nevű fájl feltöltésére: request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0 A CVE-2026-20245-öt a Mandiant a Cisco számára jelentette, és a Cisco Catalyst SD-WAN vezérlők parancssori felületén (CLI) található sebezhetőség, amely lehetővé teheti egy hitelesített, helyi támadó számára, hogy tetszőleges parancsokat hajtson végre gyökérként, ha egy manipulált fájlt szolgáltat az érintett rendszernek. Az evil_tenant.csv fájl tartalmazza az exploit payloadot. A következő kódrészlet (3. ábra) bemutatja az exploit egyik részletét, amely megpróbálja rosszindulatú bejegyzéseket hozzáfűzni a rendszer /etc/passwd és /etc/shadow fájlaihoz. E parancs végrehajtásával a fenyegető szereplő a következőket érte el: Biztonsági másolatot készített az eredeti vbond_vsmart_tenant_list konfigurációs fájlról, amelyet a hibás evil_tenant.csv tartalma felülírt volna az exploit során. Ezt a biztonsági másolatot valószínűleg azért hozták létre, hogy a szereplő később visszaállíthassa a fájlt, biztosítva, hogy az SD-WAN Manager eszköz ne töltsön be érvénytelen konfigurációt, amely figyelmeztetheti az adminisztrátorokat. Biztonsági másolatokat készített az eredeti /etc/passwd és /etc/shadow fájlokról. Létrehozott egy troot nevű felhasználói fiókot, amely teljes gyökérjogosultságokkal rendelkezett. A Mandiant ezt követően észlelte, hogy a fenyegető szereplő a troot fiókhoz való hozzáférést az admin fiókból az su (felhasználó helyettesítése) parancs használatával végezte. Anti-forenzikus technikák A Mandiant megállapította, hogy a fenyegető szereplő törölte az általuk létrehozott összes fájlt, beleértve az evil_tenant.csv-t is, és visszaállította az összes módosított rendszerkonfigurációt. Ezeket a törléseket és módosításokat az anti-forenzikus lábnyom minimalizálása érdekében hajtották végre. Emellett a Mandiant észlelt egy ellenőrző szkript végrehajtását is, amely ellenőrzi, hogy a fenyegető szereplő tevékenységének indikátorai eltávolításra kerültek-e. Ez a szkript az alábbiakat ellenőrzi: A fenyegető szereplő által létrehozott fájlok a /home/admin mappában. troot fiók a passwd és shadow fájlokban. vbond_vsmart_tenant_list, és ha létezik, a fájl információinak ellenőrzése. Valószínűleg azt ellenőrzi, hogy az eredeti fájl vissza lett-e állítva. Kilátások és következmények Ez a kampány hangsúlyozza az élő szélen való működés paradigmáját, ahol a fenyegető szereplők a hálózati eszközök kompromittálására összpontosítanak a hagyományos biztonsági határok megkerülése érdekében. Ahogy a szervezetek egyre inkább a szoftver által meghatározott hálózati megoldásokat alkalmazzák, az ezeket a környezeteket kezelő irányítók elsődleges célponttá válnak. Ezek az eszközök fekete dobozos környezetet kínálnak a fenyegető szereplőknek: gyakran hiányzik belőlük a mély további nyomozáshoz szükséges telemetria, és központi vezérlési szerepük biztosít egy észrevétlen platformot a folyamatos, széleskörű hozzáféréshez a belső vállalati forgalomhoz. Az állami szponzorált szereplők számára a lehetőség, hogy kihasználják a nulladik napi sebezhetőségeket ezen platformokon, továbbra is premier módszer a hosszú távú stratégiai intelligencia gyűjtésére. A Google Fenyegetés-Intelligencia Csoport (GTIG) szorosan nyomon követte és jelentette az évek során a szélső eszközök körüli nulladik napi kihasználások növekedését. Kármentesítés és megerősítés IOC átvilágítás / Fenyegetésvadászat: Gyűjtsön naplókat és diagnosztikai adatokat az SD-WAN eszközökről az összes vezérlési sík komponens request admin-tech parancsának végrehajtásával. Ellenőrizze ezeket a gyűjteményeket ismert IOC-k után, és hajtson végre fenyegetésvadászatokat a blogbejegyzés Detekciók és Vadászat szakaszában azonosított TTP-kre fókuszálva. Ha valódi pozitív találatok lépnek fel, akkor teljes kivizsgálást végezzen. Manuális Kármentesítési Támogatás: A Cisco útmutatása szerint bármilyen megerősített kompromittálás indikátorokat vagy gyanús tevékenységeket a Cisco Technikai Segítségnyújtó Központ (TAC) részére kell továbbítani a részletes felülvizsgálatra és kármentesítési segítségnyújtásra. Azonnali javítások és frissítések prioritása: A szervezeteknek prioritásként kell kezelniük a Cisco Catalyst SD-WAN Manager frissítéseit a javított szoftververziókra, különösen a 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2 vagy későbbi verziókra, hogy orvosolják a CVE-2026-20245-öt. A Cisco Catalyst SD-WAN Kemenyítés és Naplózási Irányelvek végrehajtása: A szervezeteknek követniük kell a Cisco Catalyst SD-WAN Kemenyítési Útmutatóban részletezett átfogó biztonsági legjobb gyakorlatokat és konfigurációs szabványokat. Ez az útmutató robusztus védelmi keretet biztosít az összes SD-WAN komponens, beleértve a kezelési, vezérlési és adat síkokat a jogosulatlan hozzáférés ellen. Kompromittálás Indikátorai (IOC) A szélesebb közösség segítése érdekében a blogbejegyzésben leírt tevékenység vadászatában és azonosításában, ingyenes GTI gyűjteményt tartalmazunk regisztrált felhasználók számára, amely tartalmazza a kompromittálás indikátorait (IOC). Hálózati indikátorok Leírás Jelző IP cím, amely rogue eszközként csatlakozik és kihasználja a CVE-2026-20245-öt 126.51.108[.]152 IP cím, amely rogue eszközként csatlakozik 76.92.245[.]217 IP cím, amely rogue eszközként csatlakozik 207.190.37[.]94 IP cím, amely rogue eszközként csatlakozik 23.245.7[.]178 IP cím, amely rogue eszközként csatlakozik 153.186.231[.]233 IP cím, amely rogue eszközként csatlakozik 167.179.79[.]189 IP cím, amely rogue eszközként csatlakozik 45.32.38[.]160 IP cím, amely rogue eszközként csatlakozik 209.137.225[.]101 Fájlindikátorok A fenyegető szereplő kiterjedt anti-forenzikus takarítása miatt az incidenst társító számos fájl fel lettülírva vagy törölve. Azonban a rosszindulatú CSV payload forenzikus maradványait helyreállították. Fájlnév Leírás SHA256 /home/admin/.orig_vbond_vsmart_tenant_list Backup konfigurációs fájl Nem állítható helyre /home/admin/.orig_vbond_vsmart_tenant_list.state Állapot fájl Nem állítható helyre /home/admin/.orig_passwd Backup jelszó fájl Nem állítható helyre /home/admin/.orig_shadow Backup jelszó fájl Nem állítható helyre /home/admin/evil_tenant.csv A rosszindulatú CSV fájl maradványa, amely kihasználja a CVE-2026-20245-öt b82936f37648518425c7d3cf9e09eaffa41d7cdb3840f6a40287e3a108880f7b Detekciók és vadászat A Mandiant arra ösztönzi a szervezeteket, hogy proaktív fenyegetésvadászatokat végezzenek a jelentésben ismertetett taktikák, technikák és eljárások (TTP-k) fókuszálásával, hogy azonosítsák azokat a tevékenységeket, amelyek máskülönben egybeolvadnának a rutinszerű műveletekkel. Mivel bizonyos kompromittálási indikátorok a légitimációs adminisztratív tevékenységekkel hasonlóságaik lehetnek, kritikus fontosságú, hogy ezeket az észleléseket az elmelettett hálózati állapotnak megfelelően értékeljék, hogy minimalizálják a hamis pozitív találatokat. A Cisco útmutatása alapján bármilyen gyanús activity vagy megerősített IOC-ket a Cisco TAC-hoz kell továbbítani a részletes felülvizsgálat és assistance érdekében. Jogosulatlan SSH kapcsolatok vmanage-admin néven Monitorozza a hitelesítési naplókat (/var/log/auth.log) az adminisztratív felhasználói névvel előforduló váratlan külső IP címekből érkező bejelentkezésekre. Jan 01 07:58:00 vManage sshd[20766]: Elfogadott nyilvános kulcs a vmanage-admin számára <Fenyegető IP> ról 48373 port ssh2: RSA SHA256:<redacted> Jan 01 08:01:00 vManage sshd[25178]: Elfogadott billentyűzet-interaktív/pam számára admin <Fenyegető IP> ról 60552 port ssh2 Gyanús jelszó módosítási események Auditozza a jelszóváltoztatásokat a /var/log/auth.log-ban, különösen, ha a jelszavakat gyors egymásutánban állítják be, majd visszaindítják. Jan 01 08:00:00 vManage usermod[12345]: 'admin' felhasználó jelszavának megváltoztatása Jan 01 08:15:00 vManage usermod[12345]: 'admin' felhasználó jelszavának megváltoztatása A védőknek a /var/confd/rollback/ mappában lévő visszaállító fájlokat is felül kell vizsgálniuk a felhasználói jelszavakat célzó konfigurációs delta változásokra: # Készítette: vmanage-admin # Dátum: 2026-01-01 08:00:00 # Át: netconf # Típus: delta # Címke: # Megjegyzés: # Nincs: 10000 # TransactionId: 12345678 # Hostnév: vManage rendszer { aaa { user admin { password <redacted>; } } } Gyanús su parancs végrehajtása Auditozza a terminál parancsok történetet és a rendszer naplókat (/var/log/auth.log) a sikeres felhasználó váltások (su) végrehajtásáról az admin fiókból jogosulatlan fiókokba (pl. troot). Jan 01 08:03:00 vManage su[24289]: Sikeres su troot számára admin által. A CVE-2026-20245 kihasználása Monitorozza a script naplókat (/var/log/scripts.log) a jogosulatlan vconfd_script_upload_tenant_list.sh végrehajtására vonatkozó rendellenességekért. Jan 01 08:01:05 vManage vScript: Bérlői lista feltöltése a vsmart sorozatszám alapján: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/evil_tenant.csv vpn 0 Jan 01 08:01:05 vManage vScript: A bérlői lista feltöltése a VPN 0-val igaz Jan 01 08:01:05 vManage vScript: Másolás ... /home/admin/evil_tenant.csv a VPN 0-on Jan 01 08:01:05 vManage vScript: A bérlői elhelyezési fájl sikeresen betöltve A védők kérdezhetik az aktív parancs végrehajtási történetüket a Viptela CLI-n belül a megadott adminisztrációs feltöltési parancsok története a show history parancs használatával: 01-01 08:01:05 -- request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0 Google Biztonsági Műveletek (SecOps) A Google SecOps ügyfelek hozzáférnek a Mandiant Intel Emerging Threats szabálycsomagban a fentieket meghaladó, széleskörű kategóriához tartozó szabályokhoz. A blogbejegyzésben tárgyalt tevékenység a következő szabályok alatt észlelhető a Google SecOps-nál: Privilegizált fiók bejegyzés a passwd adatbázisba Privilegizált felhasználói fiók felfedezése a passwd-ban vagy shadow-ban Érzékeny rendszerfájlok rejtett biztonsági másolata Gyanús másolás az usr share-ból a felhasználó rejtett könyvtárába Köszönetnyilvánítás A Mandiant köszönetet szeretne mondani a Cisco Termékszolgáltatási Incidens Reakciós Csapatának (PSIRT) az együttműködésért és a folyamat során nyújtott partnerségükért.

A teljes cikk az eredeti weboldalon

Külső link: cloudblog.withgoogle.com

Kapcsolódó cikkek