Краткое содержание инцидента
Неизвестная группировка эксплуатировала уязвимость CVE-2026-20245 как zero-day минимум за два месяца до публичного раскрытия. Целью стал неназванный оператор связи. Атакующий получил права root на инфраструктуре Cisco Catalyst SD-WAN, начав со скомпрометированной учётной записи уровня netadmin. Полный контроль над fabric'ом сетью обеспечил долгосрочное наблюдение за внутренним трафиком и обход средств обнаружения.
Характеристики уязвимости
CVE-2026-20245 получила оценку CVSS 7.8 (высокий уровень опасности). Тип проблемы: недостаточная проверка пользовательского ввода, приводящая к произвольному выполнению команд и эскалации привилегий. Вектор атаки: локальный с аутентификацией, базовая учётная запись netadmin. Механизм: загрузка сформированного файла (CSV), через который выполняются команды с повышенными правами. Cisco подтвердила факт эксплуатации «в начале этого месяца» относительно даты отчёта.
Кто исследовал инцидент
Расследование провела Mandiant (IR/threat-intel подразделение Google). Авторы отчёта: Честер Снэнг, Пит Буньякарн, Логешваран Надараджан. Технические детали CSV-загрузки, создания скрытого аккаунта troot и анти-криминалистических действий описал Остин Ларсен, главный аналитик угроз Google Threat Intelligence Group (GTIG). Стратегический комментарий о выборе edge-устройств дал Чарльз Кармакал, CTO Mandiant Consulting, через пост в LinkedIn: «Продвинутые противники продолжают в первую очередь нацеливаться и эксплуатировать сетевые устройства и другие системы, которые изначально не поддерживают EDR-решения».
Две волны атаки
Wave 1: конец 2025 — январь 2026. Начальный доступ осуществлялся через несанкционированные peering-соединения к контроллерам Cisco Catalyst SD-WAN. Эксплуатировались CVE-2026-20127 и CVE-2026-20182, обе на тот момент являлись необнаруженными zero-day. Тип обеих: обход аутентификации. Итог: закрепление в инфраструктуре.
Wave 2: март 2026. Устройство уже работало на новой версии ПО с патчем против CVE-2026-20127. Cisco подтвердила, что CVE-2026-20182 также не использовалась повторно. Гипотеза исследователей: атакующий задействовал украденные ранее сертификаты (вероятно, той же жертвы в Wave 1) для повторного входа.
Цепочка эскалации привилегий в марте 2026
[]Эксплуатация CVE-2026-20245 → переход к root.
[]Создание скрытого аккаунта troot, прописанного напрямую в /etc/passwd и /etc/shadow с полноценным root-shell.
[]Эксфильтрация конфигурации SD-WAN fabric.
[]Возврат пароля администратора к исходному значению.
[]Удаление всех созданных файлов и артефактов (включая evil_tenant.csv).
[]Откат изменений конфигурации.
[]Запуск скриптов валидации, подтверждающих отсутствие следов.
Анти-криминалистические приёмы
Атакующий методично заметал следы. Удалял и восстанавливал модифицированные системные файлы конфигурации, ротировал пароль администратора с возвратом к оригиналу, стирал каждый файл, к которому прикасался. Скрытый аккаунт troot создавался напрямую в теневых файлах Linux, минуя стандартные механизмы учётных записей. Финальным штрихом шли скрипты, проверявшие отсутствие индикаторов компрометации (IOC). Цель понятна: лишить защитников возможности оценить масштаб вторжения и сохранить скрытное присутствие.
Стратегический контекст
Случай вписывается в устойчивый тренд эксплуатации zero-day в пограничных устройствах: SD-WAN, VPN, межсетевые экраны. Системная причина проста. На edge-устройствах зачастую отсутствует телеметрия для глубокого форензик-анализа и нет нативной поддержки EDR (Endpoint Detection and Response). Контроль над SD-WAN fabric'ом открывает устойчивую видимость внутреннего трафика между узлами и сегментами, что делает такие устройства крайне привлекательной точкой входа для операторов связи и крупных корпоративных сетей.
Сводка технических индикаторов
Имя вредоносного файла: evil_tenant.csv. Имя скрытого аккаунта: troot. Расположение: /etc/passwd, /etc/shadow. Достигнутый уровень привилегий: root через эскалацию из netadmin посредством CVE-2026-20245. Эксфильтрованные данные: конфигурация SD-WAN fabric.
Связанные уязвимости (контекст)
[]CVE-2026-20182 обход аутентификации в контроллере SD-WAN. Статус в Wave 1: zero-day (вероятно, эксплуатировался). Статус в Wave 2: не использовался (подтверждено Cisco).
Участники и роли
Mandiant (принадлежит Google) вела расследование. Исследователи Честер Снэнг, Пит Буньякарн, Логешваран Надараджан соавторы публикации. Остин Ларсен (GTIG) детализировал CSV-эксплойт и анти-криминалистику. Чарльз Кармакал (CTO Mandiant Consulting) дал стратегическую оценку. Cisco подтвердила факт эксплуатации и статусы патчей. Жертва неназванный оператор связи. Исполнитель неизвестен, уровень квалификации оценивается как продвинутый: использование zero-day, аккуратная операционная безопасность, последовательная зачистка следов.
Неизвестная группировка эксплуатировала уязвимость CVE-2026-20245 как zero-day минимум за два месяца до публичного раскрытия. Целью стал неназванный оператор связи. Атакующий получил права root на инфраструктуре Cisco Catalyst SD-WAN, начав со скомпрометированной учётной записи уровня netadmin. Полный контроль над fabric'ом сетью обеспечил долгосрочное наблюдение за внутренним трафиком и обход средств обнаружения.
Характеристики уязвимости
CVE-2026-20245 получила оценку CVSS 7.8 (высокий уровень опасности). Тип проблемы: недостаточная проверка пользовательского ввода, приводящая к произвольному выполнению команд и эскалации привилегий. Вектор атаки: локальный с аутентификацией, базовая учётная запись netadmin. Механизм: загрузка сформированного файла (CSV), через который выполняются команды с повышенными правами. Cisco подтвердила факт эксплуатации «в начале этого месяца» относительно даты отчёта.
Кто исследовал инцидент
Расследование провела Mandiant (IR/threat-intel подразделение Google). Авторы отчёта: Честер Снэнг, Пит Буньякарн, Логешваран Надараджан. Технические детали CSV-загрузки, создания скрытого аккаунта troot и анти-криминалистических действий описал Остин Ларсен, главный аналитик угроз Google Threat Intelligence Group (GTIG). Стратегический комментарий о выборе edge-устройств дал Чарльз Кармакал, CTO Mandiant Consulting, через пост в LinkedIn: «Продвинутые противники продолжают в первую очередь нацеливаться и эксплуатировать сетевые устройства и другие системы, которые изначально не поддерживают EDR-решения».
Две волны атаки
Wave 1: конец 2025 — январь 2026. Начальный доступ осуществлялся через несанкционированные peering-соединения к контроллерам Cisco Catalyst SD-WAN. Эксплуатировались CVE-2026-20127 и CVE-2026-20182, обе на тот момент являлись необнаруженными zero-day. Тип обеих: обход аутентификации. Итог: закрепление в инфраструктуре.
Wave 2: март 2026. Устройство уже работало на новой версии ПО с патчем против CVE-2026-20127. Cisco подтвердила, что CVE-2026-20182 также не использовалась повторно. Гипотеза исследователей: атакующий задействовал украденные ранее сертификаты (вероятно, той же жертвы в Wave 1) для повторного входа.
Цепочка эскалации привилегий в марте 2026
- []Смена стандартного пароля администратора.
[]Загрузка вредоносного CSV-файла с именем
[]Эксплуатация CVE-2026-20245 → переход к root.
[]Создание скрытого аккаунта troot, прописанного напрямую в /etc/passwd и /etc/shadow с полноценным root-shell.
[]Эксфильтрация конфигурации SD-WAN fabric.
[]Возврат пароля администратора к исходному значению.
[]Удаление всех созданных файлов и артефактов (включая evil_tenant.csv).
[]Откат изменений конфигурации.
[]Запуск скриптов валидации, подтверждающих отсутствие следов.
Анти-криминалистические приёмы
Атакующий методично заметал следы. Удалял и восстанавливал модифицированные системные файлы конфигурации, ротировал пароль администратора с возвратом к оригиналу, стирал каждый файл, к которому прикасался. Скрытый аккаунт troot создавался напрямую в теневых файлах Linux, минуя стандартные механизмы учётных записей. Финальным штрихом шли скрипты, проверявшие отсутствие индикаторов компрометации (IOC). Цель понятна: лишить защитников возможности оценить масштаб вторжения и сохранить скрытное присутствие.
Стратегический контекст
Случай вписывается в устойчивый тренд эксплуатации zero-day в пограничных устройствах: SD-WAN, VPN, межсетевые экраны. Системная причина проста. На edge-устройствах зачастую отсутствует телеметрия для глубокого форензик-анализа и нет нативной поддержки EDR (Endpoint Detection and Response). Контроль над SD-WAN fabric'ом открывает устойчивую видимость внутреннего трафика между узлами и сегментами, что делает такие устройства крайне привлекательной точкой входа для операторов связи и крупных корпоративных сетей.
Сводка технических индикаторов
Имя вредоносного файла: evil_tenant.csv. Имя скрытого аккаунта: troot. Расположение: /etc/passwd, /etc/shadow. Достигнутый уровень привилегий: root через эскалацию из netadmin посредством CVE-2026-20245. Эксфильтрованные данные: конфигурация SD-WAN fabric.
Связанные уязвимости (контекст)
- []
[]CVE-2026-20182 обход аутентификации в контроллере SD-WAN. Статус в Wave 1: zero-day (вероятно, эксплуатировался). Статус в Wave 2: не использовался (подтверждено Cisco).
Участники и роли
Mandiant (принадлежит Google) вела расследование. Исследователи Честер Снэнг, Пит Буньякарн, Логешваран Надараджан соавторы публикации. Остин Ларсен (GTIG) детализировал CSV-эксплойт и анти-криминалистику. Чарльз Кармакал (CTO Mandiant Consulting) дал стратегическую оценку. Cisco подтвердила факт эксплуатации и статусы патчей. Жертва неназванный оператор связи. Исполнитель неизвестен, уровень квалификации оценивается как продвинутый: использование zero-day, аккуратная операционная безопасность, последовательная зачистка следов.