Cisco Catalyst SD-WAN é explorado como zero‑day para acesso root em provedor de comunicações
Uma vulnerabilidade de alta severidade no Cisco Catalyst SD-WAN foi utilizada como falha zero‑day por um ator ainda não atribuído para escalar privilégios e conquistar acesso root em um ambiente de um provedor de serviços de comunicação. O incidente foi analisado em detalhes pela Mandiant, empresa do Google focada em resposta a incidentes e inteligência de ameaças cibernéticas.
A falha, catalogada como CVE-2026-20245 e classificada com pontuação CVSS 7,8, permite que um usuário local autenticado execute comandos arbitrários com privilégios elevados. A exploração é realizada a partir do envio de um arquivo especialmente manipulado ao sistema vulnerável, explorando uma validação insuficiente dos dados fornecidos pelo usuário.
De acordo com a Cisco, para tirar proveito dessa vulnerabilidade o invasor precisa, inicialmente, possuir privilégios de netadmin na instância afetada. Apesar dessa barreira, a Mandiant identificou que a brecha foi explorada por pelo menos dois meses antes da sua divulgação oficial, o que enquadra o caso como uso de zero‑day.
Os pesquisadores Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan identificaram que o autor do ataque empregou técnicas antiforenses ao longo de toda a intrusão, com o objetivo de preservar a segurança operacional da campanha e tornar sua detecção o mais difícil possível. Entre as ações observadas estão a exclusão seletiva de arquivos de configuração alterados durante a atividade maliciosa e, posteriormente, a restauração de versões anteriores para mascarar rastros de alteração.
A investigação aponta que o alvo foi um provedor de serviços de comunicação não identificado publicamente. O propósito do ataque foi elevar o nível de acesso de uma conta administrativa já comprometida até o controle total em nível root, garantindo ao invasor privilégios máximos sobre o dispositivo SD‑WAN. Esse tipo de controle abre caminho para manipulação de tráfego, monitoramento persistente e possíveis movimentos laterais em toda a infraestrutura de rede.
Segundo a Mandiant, foram observados dois períodos distintos de atividade não autorizada. O primeiro intervalo ocorreu entre o fim de 2025 e janeiro de 2026. Já o segundo episódio foi registrado em março de 2026. Até agora, não há confirmação se essas duas ondas de ataque estão relacionadas ou se foram conduzidas por grupos distintos.
Na primeira fase, a vítima sofreu conexões de peering não autorizadas, muito provavelmente por meio da exploração de uma de duas falhas de bypass de autenticação em controladores Cisco Catalyst SD-WAN: CVE-2026-20127 ou CVE-2026-20182. À época, ambas as vulnerabilidades ainda não haviam sido reveladas publicamente, o que as coloca também na categoria de zero‑day durante essa campanha.
Em março de 2026, uma segunda sequência de conexões de peering maliciosas foi direcionada a um dispositivo que executava uma versão de software mais nova, já corrigida para a CVE-2026-20127. A Cisco posteriormente confirmou que essas conexões não exploraram a CVE-2026-20182, levantando a hipótese de que o invasor possa ter recorrido ao uso de certificados previamente roubados em uma violação anterior do mesmo dispositivo para obter o acesso inicial.
Uma vez dentro do ambiente, os operadores maliciosos alteraram as credenciais administrativas padrão e, em seguida, exploraram a CVE-2026-20245 como zero‑day por meio do upload de um arquivo CSV malicioso, batizado de “evil_tenant.csv”. Esse arquivo foi construído justamente para permitir a escalada de privilégios e a criação de uma conta não autorizada chamada “troot”, com acesso completo de shell em nível root.
A cadeia de ataque reconstruída pela Mandiant revela uma operação conduzida com forte planejamento. Primeiro, o invasor obteve ou manteve acesso ao ambiente SD‑WAN. Na sequência, modificou credenciais administrativas existentes, extraiu a configuração completa da malha SD‑WAN e, então, explorou a vulnerabilidade de escalada de privilégios. Depois de conquistar acesso root, criou uma conta oculta e iniciou uma etapa sistemática de limpeza, removendo evidências que pudessem denunciar a intrusão.
Austin Larsen, analista principal de ameaças no Google Threat Intelligence Group, relatou que o invasor chegou a trocar a senha administrativa padrão e, após exfiltrar a configuração da malha SD‑WAN, restaurou a senha para o valor original. Essa medida foi pensada para evitar que qualquer administrador percebesse mudanças suspeitas ao acessar o sistema, reduzindo a chance de detecção por anomalias de autenticação.
Os operadores também removeram arquivos criados por eles mesmos, reverteram alterações de configuração e executaram scripts para verificar se seus indicadores haviam sido eliminados com sucesso. Essa abordagem reduziu significativamente a capacidade dos defensores de reconstituir a linha do tempo completa da atividade maliciosa e de mensurar com precisão o escopo do comprometimento.
O caso reforça como dispositivos de borda – incluindo soluções SD‑WAN, roteadores, firewalls e controladores de rede – permanecem entre os alvos prediletos de agentes de ameaça avançados. Em geral, esses equipamentos não contam com o mesmo nível de telemetria e visibilidade encontrado em endpoints corporativos tradicionalmente protegidos por soluções EDR, o que torna muito mais complexa a realização de análises forenses aprofundadas após um incidente.
Do ponto de vista do atacante, obter um ponto de apoio em um dispositivo SD‑WAN de um provedor de serviços é extremamente vantajoso. Esses sistemas são elementos críticos da topologia de conectividade entre filiais, data centers e ambientes distribuídos. Um comprometimento bem-sucedido pode proporcionar visibilidade persistente sobre o tráfego interno, acesso privilegiado a rotas sensíveis e capacidade de redirecionar ou inspecionar comunicações sem ser notado.
Além disso, a posição estratégica dos equipamentos SD‑WAN permite que o invasor use o dispositivo como trampolim para outras partes da infraestrutura, inclusive ambientes de nuvem e redes de clientes conectadas por meio de túneis ou links dedicados. Isso amplia o impacto potencial de uma única vulnerabilidade explorada na borda, transformando um incidente pontual em um risco sistêmico.
Para as organizações que utilizam Cisco Catalyst SD‑WAN, o caso ilustra a necessidade de encarar esses appliances como ativos críticos de segurança, e não apenas componentes de roteamento. É fundamental manter o software rigorosamente atualizado, aplicar correções assim que disponibilizadas e implementar controles de acesso rígidos, especialmente para contas com privilégios de netadmin ou equivalentes.
Outro ponto essencial é a segmentação de acesso administrativo. Contas privilegiadas devem ser utilizadas de forma restrita, monitorada e, preferencialmente, protegidas com autenticação multifator. A utilização de acesso just‑in‑time, com elevação temporária de privilégios apenas quando necessário, reduz a janela de oportunidade para a exploração de vulnerabilidades de escalada de privilégios como a CVE-2026-20245.
Do lado da detecção, provedores e grandes empresas podem elevar a maturidade de monitoramento ao integrar registros de dispositivos SD‑WAN com sistemas de análise de segurança, correlacionando eventos de autenticação, mudanças de configuração, criação de contas e upload de arquivos a partir de fontes diversas. Mesmo diante de técnicas antiforenses, padrões de uso anômalos – como conexões de peering inesperadas ou modificações frequentes em configurações sensíveis – podem servir como gatilhos para investigação.
Também é recomendável a realização periódica de revisões de configuração e auditorias de contas em controladores SD‑WAN, verificando a existência de usuários desconhecidos, chaves de acesso atípicas ou certificados sem justificativa operacional clara. Essa prática ajuda a identificar contas ocultas como a “troot” antes que sejam usadas de forma mais destrutiva.
Por fim, o incidente destaca a importância de uma abordagem de segurança baseada em suposição de comprometimento. Em vez de confiar cegamente em controles perimetrais, provedores de comunicação e grandes organizações devem adotar o princípio de confiança zero, limitando acessos, verificando continuamente identidades e validando comportamentos. Em um cenário em que zero‑days em dispositivos de rede continuam a ser explorados, a capacidade de detectar, conter e responder rapidamente passa a ser tão crucial quanto a simples aplicação de patches.