Un actor de amenazas desconocido explotó una vulnerabilidad de gravedad alta recientemente divulgada en Cisco Catalyst SD-WAN como un día cero al menos dos meses antes de que se hiciera pública, según nuevos hallazgos de Mandiant, propiedad de Google.
La vulnerabilidad, identificada como CVE-2026-20245 (puntuación CVSS: 7,8), permite a un atacante local autenticado ejecutar comandos arbitrarios con privilegios elevados al proporcionar un archivo manipulado al sistema afectado, aprovechando una validación insuficiente de la entrada del usuario. A principios de este mes, Cisco reconoció ser consciente de la explotación de esta vulnerabilidad, añadiendo que un actor malicioso debe tener privilegios de netadmin en un sistema afectado para llevar a cabo un ataque exitoso.
"A lo largo de la intrusión, para mantener la seguridad operativa y evitar la detección, el actor de amenazas empleó consistentemente técnicas antirforenses, eliminando y restaurando selectivamente archivos de configuración del sistema que fueron modificados durante sus actividades", dijeron los investigadores de Mandiant Chester Sng, Pete Boonyakarn y Logeswaran Nadarajan.
El incidente, según el brazo de respuesta a incidentes e inteligencia de amenazas del gigante tecnológico, apuntó a un proveedor de servicios de comunicaciones no especificado para elevar una cuenta de administrador comprometida a acceso root completo. Se detectaron dos períodos distintos de actividad no autorizada: uno entre finales de 2025 y enero de 2026, y otro en marzo de 2026. Por ahora, no está claro si estos dos eventos están conectados y son obra del mismo actor de amenazas.
Durante la primera ola, la víctima experimentó conexiones de intercambio no autorizadas que probablemente explotaron una de dos fallas de omisión de autenticación en controladores Cisco Catalyst SD-WAN (CVE-2026-20127 o CVE-2026-20182). Cabe señalar que ambas vulnerabilidades de seguridad eran días cero no divulgados en ese momento. Luego, en marzo de 2026, una segunda ola de conexiones de intercambio fraudulentas apuntó a un dispositivo que ejecutaba una versión de software más nueva, parcheada contra CVE-2026-20127. Cisco ha confirmado desde entonces que estas conexiones no aprovecharon CVE-2026-20182, lo que plantea la posibilidad de que el atacante, que podría o no estar detrás de las conexiones de intercambio no autorizadas anteriores, dependiera de certificados robados de una violación previa del mismo dispositivo para obtener acceso inicial.
"El atacante cambió las credenciales de administrador predeterminadas antes de explotar CVE-2026-20245 como un día cero a través de una carga maliciosa de archivo CSV (evil_tenant.csv)", dijo Mandiant. "Este exploit les permitió escalar privilegios y crear una cuenta de usuario fraudulento (llamada 'troot') con control total del shell root".
Los atacantes también han sido descubiertos cubriendo consistentemente sus huellas al eliminar archivos creados por ellos, revertir cambios de configuración y ejecutar scripts para asegurarse de que no quedara evidencia y limitar la capacidad de los defensores para evaluar el alcance total del compromiso.
"Después de cambiar la contraseña de administrador predeterminada y exfiltrar la configuración del tejido SD-WAN, el actor cambió la contraseña a su valor original para que un administrador que iniciara sesión no notara nada anormal", dijo Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group (GTIG). "Escalaron a root a través de una carga maliciosa de CSV, crearon una cuenta oculta 'troot' en /etc/passwd y /etc/shadow, luego eliminaron cada archivo que tocaron y ejecutaron un script de validación para confirmar que sus indicadores habían desaparecido".
Google señaló que la actividad resalta una vez más la "tendencia continua" de actores maliciosos de armar días cero en dispositivos perimetrales como SD-WAN, ya que carecen de la telemetría necesaria para un análisis forense profundo, y un punto de apoyo en esos sistemas puede facilitar la visibilidad persistente del tráfico interno a través del tejido.
"Los adversarios avanzados continúan apuntando y explotando principalmente dispositivos de red y otros sistemas que no admiten de forma nativa soluciones EDR", dijo Charles Carmakal, director de tecnología de Mandiant Consulting, en una publicación en LinkedIn.
