Mandiant 揭示 Cisco SD-WAN 零日攻击如何获取 root 访问权限

关于黑客如何在零日攻击中利用编号为 CVE-2026-20245 的 Cisco Catalyst SD-WAN 漏洞，在目标设备上创建恶意 root 账户的新细节已被披露。

CVE-2026-20245 漏洞是 Cisco Catalyst SD-WAN Manager（vManage）、Controller（vSmart）和 Validator（vBond）中的一个高严重性命令注入漏洞，允许经过身份验证的攻击者通过上传精心构造的文件以 root 身份执行任意命令。

Cisco 表示，该漏洞源于对用户提供的输入验证不足，并且可以被对受影响设备具有本地访问权限的经过身份验证的攻击者利用。

当 Cisco 本月早些时候披露该漏洞时，该公司警告称它已在有限数量的攻击中被利用，但未提供任何细节。

Cisco 仅表示成功利用可使攻击者获得 root 权限，并且一些事件涉及向边缘设备推送未经授权的配置更改。

该公司发布了安全更新，并敦促客户升级到已修复的软件版本，同时表示没有可用的解决方法。

新的利用细节浮出水面

在今天发布的一份报告中，Mandiant 透露 CVE-2026-20245 被用作权限提升漏洞，此前攻击者已获得对目标 SD-WAN 设备的访问权限。

据研究人员称，入侵始于在服务提供商基础设施上观察到的未经授权的 SD-WAN 对等连接。

从 2026 年 3 月开始，威胁行为者建立了新的恶意对等连接，并使用 vmanage-admin 账户对受影响的 SD-WAN Manager 设备进行了身份验证。

Mandiant 认为，恶意对等连接可能是通过利用先前披露的 Cisco SD-WAN 身份验证绕过零日漏洞 CVE-2026-20127 和 CVE-2026-20182 创建的，尽管确切方法尚不清楚。

获得访问权限后，攻击者更改了默认管理员账户密码，登录到 SD-WAN Manager Web 界面，并提取了边缘设备、控制器和 SD-WAN 模板的配置信息。

Mandiant 表示，攻击者在完成活动后随后将管理员账户恢复为其原始密码，很可能是为了减少被检测到的可能性。

研究人员表示，攻击者随后通过 SD-WAN 命令行界面中的租户上传功能，上传了一个名为 "evil_tenant.csv" 的恶意 CSV 文件，从而利用了 CVE-2026-20245。

Mandiant 解释道：“CVE-2026-20245 是 Mandiant 向 Cisco 报告的一个漏洞，存在于 Cisco Catalyst SD-WAN Controller 的命令行界面（CLI）中，可能允许经过身份验证的本地攻击者通过向受影响系统提供精心构造的文件，以 root 身份执行任意命令。”

攻击者随后使用 Linux 的 "su" 命令从被入侵的管理员账户切换到新创建的 root 账户，从而完全控制设备。

Mandiant 表示，攻击者严重依赖反取证策略来逃避检测。

这包括在修改配置文件之前进行备份，然后在利用之后恢复它们。他们还通过删除恶意 CSV 载荷、移除攻击期间创建的临时文件以及擦除恶意 root 账户的证据来清理利用痕迹。

研究人员还观察到执行了一个验证脚本，以确认所有入侵痕迹已从设备中清除。

Mandiant 表示，2026 年 3 月观察到的一些恶意对等活动发生在不受任何先前披露的身份验证绕过漏洞影响的系统上。

Cisco 告诉研究人员，此次入侵不涉及 CVE-2026-20182，并表示攻击者可能使用了先前入侵期间窃取的证书来重新获得对设备的访问权限。

Mandiant 已发布了入侵指标、攻击者 IP 地址以及帮助组织确定是否已被入侵的指南。

组织应从 SD-WAN 设备收集诊断数据，检查是否存在未经授权的对等连接迹象，如果尚未升级，请升级到最新的软件版本。