Descoberta e escopo
Um ator de ameaças sofisticado está explorando ativamente uma vulnerabilidade zero-day no Cisco Catalyst SD-WAN Manager, permitindo que atacantes obtenham acesso root completo aos controladores de rede. A falha, rastreada como CVE-2026-20245 com pontuação CVSS de 7.8, reside na interface de linha de comando (CLI) dos controladores e é classificada como CWE-116 (Codificação ou Escape Improper de Saída).
O problema surge porque o recurso de upload de arquivos do dispositivo falha em validar ou filtrar adequadamente as entradas fornecidas pelo usuário antes de serem processadas por shell helpers privilegiados. Um atacante autenticado com privilégios de nível netadmin pode fazer upload de um arquivo CSV especialmente elaborado, acionando injeção de comando e alcançando execução arbitrária de comando como root.
Linha do tempo do incidente
A intrusão se desenrolou em duas fases distintas:
- De 2025 a janeiro de 2026: A Mandiant observou múltiplas conexões de peering não autorizadas aos dispositivos SD-WAN Manager da vítima, provavelmente explorando falhas complementares de bypass de autenticação CVE-2026-20127 (CVSS 10.0) e CVE-2026-20182 (CVSS 10.0), ambas permitindo que atacantes remotos não autenticados obtenham privilégios administrativos.
- A partir de março de 2026: O ator de ameaças estabeleceu novas conexões de peer rogue e autenticou-se no SD-WAN Manager via SSH usando a conta padrão
vmanage-admin.
Vetor e exploração
Após estabelecer uma sessão SSH com a conta admin, o atacante executou um comando de upload de arquivo direcionado para entregar um arquivo nomeado evil_tenant.csv. O payload de exploração embutido neste arquivo manipulou os arquivos /etc/passwd e /etc/shadow do sistema, injetando uma nova conta de usuário chamada troot com privilégios root UID 0 completos.
O ator de ameaças então escalonou para esta conta via comando su (substitute user), alcançando controle completo do plano de gerenciamento. Para manter a segurança operacional, o ator executou um script de validação para verificar e purgar sistematicamente todos os artefatos forenses, incluindo a exclusão de evil_tenant.csv, restauração da configuração original vbond_vsmart_tenant_list, reversão de /etc/passwd e /etc/shadow para seus estados de backup, e confirmação da remoção da conta troot.
Impacto e alcance
A vulnerabilidade afeta todos os tipos de implantação, incluindo On-Prem, Cisco SD-WAN Cloud, Cloud-Pro e ambientes governamentais FedRAMP. A campanha exemplifica o paradigma "living off the edge" cada vez mais favorecido por atores patrocinados por estados que visam appliances de rede que funcionam como caixas pretas com telemetria limitada.
Medidas de mitigação recomendadas
Organizações executando Cisco Catalyst SD-WAN Manager devem agir imediatamente:
- Atualizar imediatamente para versões corrigidas: 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2 ou posterior
- Executar
request admin-techem todos os componentes do plano de controle para coletar logs e realizar varreduras de IOC - Revisar
/var/log/scripts.logpara comandos de upload de arquivo suspeitos ou alterações de configuração não autorizadas - Contatar o Cisco TAC imediatamente se qualquer indicador confirmado de comprometimento for identificado
- Seguir o Guia de Hardening do Cisco Catalyst SD-WAN para defesa em profundidade através dos planos de gerenciamento, controle e dados
Indicadores de comprometimento (IOCs)
| Descrição | Indicador |
| IP conectando como dispositivo rogue explorando CVE-2026-20245 | 126.51.108[.]152 |
| IP conectando como dispositivo rogue | 76.92.245[.]217 |
| IP conectando como dispositivo rogue | 207.190.37[.]94 |
| IP conectando como dispositivo rogue | 23.245.7[.]178 |
| IP conectando como dispositivo rogue | 153.186.231[.]233 |
| IP conectando como dispositivo rogue | 167.179.79[.]189 |
| IP conectando como dispositivo rogue | 45.32.38[.]160 |
| IP conectando como dispositivo rogue | 209.137.225[.]101 |
Nota: Endereços IP e domínios estão intencionalmente defanged (ex: [.]) para prevenir resolução acidental ou hiperlinking. Re-fang apenas dentro de plataformas controladas de threat intelligence como MISP, VirusTotal ou seu SIEM.
O que os CISOs devem fazer imediatamente
Organizações operando ambientes SD-WAN distribuídos devem tratar o plano de gerenciamento como superfície de ataque Tier-1 e impor controles de acesso estritos, monitoramento contínuo e cadência agressiva de patching. O Google Threat Intelligence Group (GTIG) rastreou um aumento consistente ano a ano na exploração zero-day de dispositivos de borda, e este arco de três-CVE contra o plano de gerenciamento do Cisco SD-WAN representa uma falha estrutural, não um bug isolado.
Perguntas frequentes
Qual a gravidade desta vulnerabilidade?
A pontuação CVSS é 7.8, classificada como alta. A combinação com as falhas de bypass de autenticação (CVSS 10.0) cria um caminho de ataque completo para comprometimento total.
Quais setores estão mais afetados?
Provedores de serviços de rede, organizações governamentais FedRAMP e qualquer entidade com infraestrutura SD-WAN distribuída.
Existe PoC disponível?
Sim, o ataque já foi observado em produção com upload de arquivo CSV malicioso. A Mandiant documentou o comportamento completo da exploração.