Detail baru telah terungkap tentang bagaimana peretas mengeksploitasi kerentanan Cisco Catalyst SD-WAN yang dilacak sebagai CVE-2026-20245 dalam serangan zero-day untuk membuat akun root jahat pada perangkat yang ditargetkan.
Itu CVE-2026-20245 kerentanan adalah kelemahan injeksi perintah dengan tingkat keparahan tinggi di Cisco Catalyst SD-WAN Manager (vManage), Controller (vSmart), dan Validator (vBond) yang memungkinkan penyerang yang diautentikasi untuk mengeksekusi perintah sewenang-wenang sebagai root dengan mengunggah file yang dibuat.
Cisco mengatakan kerentanan tersebut berasal dari kurangnya validasi masukan yang diberikan pengguna dan dapat dieksploitasi oleh penyerang terautentikasi yang memiliki akses lokal ke perangkat yang terkena dampak.
Ketika Cisco mengungkapkan kelemahannya awal bulan ini, perusahaan tersebut memperingatkan bahwa hal itu memang benar adanya dieksploitasi dalam sejumlah serangan terbatas tetapi tidak memberikan rincian apa pun.
Cisco hanya menyatakan bahwa eksploitasi yang berhasil memungkinkan penyerang mendapatkan hak akses root dan bahwa beberapa insiden melibatkan perubahan konfigurasi yang tidak sah yang didorong ke perangkat edge.
Perusahaan merilis pembaruan keamanan dan mendesak pelanggan untuk meningkatkan ke versi perangkat lunak yang telah diperbaiki, dengan menyatakan bahwa tidak ada solusi yang tersedia.
Detail eksploitasi baru muncul
Dalam laporan yang diterbitkan hari ini, Mandiant terungkap bahwa CVE-2026-20245 dieksploitasi sebagai kerentanan eskalasi hak istimewa setelah penyerang memperoleh akses ke perangkat SD-WAN yang ditargetkan.
Menurut para peneliti, intrusi dimulai dengan koneksi peering SD-WAN tidak sah yang diamati pada infrastruktur penyedia layanan.
Mulai bulan Maret 2026, pelaku ancaman membuat koneksi peer jahat baru dan mengautentikasi ke perangkat SD-WAN Manager yang terpengaruh menggunakan vmanage-admin akun.
Mandiant percaya bahwa peering jahat mungkin diciptakan dengan mengeksploitasi otentikasi Cisco SD-WAN bypass zero-day yang telah diungkapkan sebelumnya, CVE-2026-20127 Dan CVE-2026-20182meskipun metode pastinya masih belum jelas.
Setelah mendapatkan akses, penyerang mengubah kata sandi akun admin default, masuk ke antarmuka web SD-WAN Manager, dan mengekstrak informasi konfigurasi untuk perangkat edge, pengontrol, dan templat SD-WAN.
Mandiant mengatakan para penyerang kemudian mengembalikan akun admin ke kata sandi aslinya setelah menyelesaikan aktivitas mereka, kemungkinan besar akan mengurangi deteksi.
Para peneliti mengatakan para penyerang kemudian mengeksploitasi CVE-2026-20245 melalui fitur unggahan penyewa di antarmuka baris perintah SD-WAN dengan mengunggah file CSV berbahaya bernama “evil_tenant.csv.”
“CVE-2026-20245kerentanan yang dilaporkan ke Cisco oleh Mandiant, ada di antarmuka baris perintah (CLI) dari Cisco Catalyst SD-WAN Controllers yang memungkinkan penyerang lokal yang terautentikasi untuk mengeksekusi perintah sewenang-wenang sebagai root dengan menyediakan file buatan ke sistem yang terpengaruh,” jelas Mandiant.
Mandiant mengatakan muatan berbahaya pertama kali membuat cadangan file konfigurasi sistem, termasuk /etc/passwd Dan /etc/shadowsebelum membuat akun baru bernama “troot” dengan hak istimewa tingkat root.
Para penyerang kemudian menggunakan Linux “su” perintah untuk beralih dari akun administratif yang disusupi ke akun root yang baru dibuat, sehingga memberi mereka kendali penuh atas perangkat.
Mandiant mengatakan para penyerang sangat mengandalkan taktik anti-forensik untuk menghindari deteksi.
Ini termasuk mencadangkan file konfigurasi sebelum memodifikasinya dan kemudian memulihkannya setelah eksploitasi. Mereka juga membersihkan jejak eksploitasi dengan menghapus muatan CSV berbahaya, menghapus file sementara yang dibuat selama serangan, dan menghapus bukti akun root jahat.
Para peneliti juga mengamati pelaksanaan skrip validasi untuk mengonfirmasi bahwa semua jejak penyusupan telah dihapus dari perangkat.
Mandiant mengatakan beberapa aktivitas peering jahat yang diamati pada bulan Maret 2026 terjadi pada sistem yang tidak rentan terhadap kelemahan bypass otentikasi yang diungkapkan sebelumnya.
Cisco mengatakan kepada para peneliti bahwa pelanggaran tersebut tidak melibatkan CVE-2026-20182 dan mengatakan ada kemungkinan penyerang menggunakan sertifikat yang dicuri selama kompromi sebelumnya untuk mendapatkan kembali akses ke perangkat.
Mandiant telah menerbitkan indikator penyusupan, alamat IP penyerang, dan panduan untuk membantu organisasi menentukan apakah mereka telah disusupi.
Organisasi harus mengumpulkan data diagnostik dari perangkat SD-WAN, memeriksa tanda-tanda koneksi peering yang tidak sah, dan melakukan upgrade ke rilis perangkat lunak terbaru jika mereka belum melakukannya.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
