Cisco SD-WAN Уязвимость CVE-2026-20245: Эксплуатация за Два Месяца до Раскрытия

Два месяца. Именно такой разрыв подтвердила компания Mandiant между активной эксплуатацией CVE-2026-20245 в развёртывании Cisco Catalyst SD-WAN и публичным признанием уязвимости со стороны Cisco в начале этого месяца. Оценка CVSS составляет 7.8, что обычно относит проблему ко второму уровню срочности, однако операционный профиль инцидента (цель — телеком, цепочка из двух других нераскрытых zero-day, скрытый root-аккаунт, антикриминалистическая очистка) больше напоминает атаку государственного уровня, нежели эскалацию привилегий средней тяжести.

Цифры

Начнём с CVSS. Оценка 7.8 кажется умеренной, пока не читаешь вектор доступа: аутентифицированный, локальный, требующий привилегий netadmin. Как сообщает The Hacker News, Cisco позиционирует ситуацию так: атакующий уже должен был иметь привилегии netadmin на устройстве. Именно это предусловие опустило оценку ниже 9.0. В отрыве от контекста такая позиция технически обоснована. В контексте же она вводит в заблуждение, поскольку атакующий получил netadmin с помощью двух других zero-day уязвимостей (CVE-2026-20127 и CVE-2026-20182), которые также не были раскрыты на тот момент. Таким образом, реальная критичность с точки зрения неаутентифицированного злоумышленника значительно выше, чем подразумевает оценка 7.8.

Временна́я шкала имеет принципиальное значение. Mandiant выявила два отдельных периода активности. Первый охватывал конец 2025 года и январь 2026 года. Второй пришёлся на март 2026 года. Раскрытие информации Cisco состоялось в июне 2026 года. Это шесть месяцев от первого известного вторжения до публичного CVE и минимум два месяца между активной эксплуатацией и публикацией рекомендаций по патчу. Для инфраструктуры, стоящей на периметре сети оператора связи, это очень долгая «слепая зона».

Цепочка атак заслуживает подробного описания. Первая волна: несанкционированные пиринговые подключения через CVE-2026-20127 или CVE-2026-20182 — оба zero-day. Вторая волна в марте 2026 года: целевое устройство было запатчено против CVE-2026-20127, а Cisco подтвердила, что CVE-2026-20182 не использовалась, — что оставляет использование сертификатов, похищенных в ходе предыдущего взлома, в качестве основной гипотезы повторного проникновения. Оказавшись внутри, атакующий сменил пароль администратора по умолчанию, загрузил вредоносный CSV-файл с именем evil_tenant.csv для активации CVE-2026-20245, повысил привилегии до root, затем создал аккаунт troot, записанный напрямую в /etc/passwd и /etc/shadow. После эксфильтрации конфигурации SD-WAN фабрики пароль администратора был возвращён к исходному значению, чтобы при следующем входе ничто не вызвало подозрений.

Источник не раскрывает, какой именно оператор связи стал жертвой, какой объём конфигурации фабрики был похищен и являются ли оба периода активности работой одного и того же злоумышленника. Последний вопрос принципиален: если это одна группа, мы наблюдаем устойчивую кампанию с оперативной дисциплиной, измеряемой кварталами. Если это два несвязанных субъекта — мы имеем дело с классом устройств, который независимо переоткрывается как удобная цель, что, пожалуй, ещё хуже.

Что действительно нового

Zero-day уязвимости в периметровых устройствах не являются чем-то новым. Отличие данного инцидента — качество инженерного подхода к сокрытию следов, а не к самому вторжению. Команда Mandiant зафиксировала избирательное удаление и восстановление системных конфигурационных файлов, откат пароля к исходному значению и (деталь, которую я бы назвал наиболее показательной) валидационный скрипт, запущенный атакующим для подтверждения того, что следы компрометации были уничтожены. Это QA-дисциплина, применённая к операционной гигиене вторжения.

Размещение аккаунта troot также показательно. Запись в /etc/passwd и /etc/shadow — не тонкий приём, это классический способ обеспечения персистентности в Linux. Однако в сочетании с избирательным восстановлением файлов и скриптом самопроверки это указывает на то, что атакующий изначально рассчитывал на прибытие криминалистов и целенаправленно проектировал ситуацию под этот сценарий, а не надеялся избежать обнаружения.

Второй новый элемент — гипотеза о повторном проникновении. В волне марта 2026 года Cisco подтвердила, что запатченное устройство не было повторно скомпрометировано через какую-либо из исходных уязвимостей обхода аутентификации. Ведущая теория Mandiant состоит в том, что сертификаты, похищенные в ходе вторжения в конце 2025 года, были повторно использованы для первоначального доступа. Если это верно, подтверждается паттерн, который для большинства корпоративных команд безопасности оставался теоретическим: исправленная уязвимость не закрывает дверь, если злоумышленник ушёл с вашими доверенными материалами. Для SD-WAN фабрик, где аутентификация партнёров в значительной мере опирается на сертификаты, выданные контроллером, это архитектурная проблема, а не проблема патчинга.

Чарльз Кармакал (Charles Carmakal), CTO Mandiant Consulting, прямо высказался по этому поводу в LinkedIn: продвинутые злоумышленники по-прежнему преимущественно атакуют сетевые устройства и другие системы, которые нативно не поддерживают EDR. Это наблюдение не ново, но доказательная база за ним продолжает расти. Позиция Google, квалифицирующей инцидент как часть «устойчивой тенденции» использования zero-day против периметровых устройств, — это корректный способ сказать, что индустрия не сдвинулась с места по данному классу поверхностей атак за многие годы. Тактики, техники и процедуры можно аккуратно наложить на матрицу MITRE ATT&CK, но наложение не равно обнаружению, а на этих устройствах зачастую нет никакой телеметрии для наложения.

Что уже учтено командами безопасности

Если вы управляете SD-WAN, финтех-инфраструктурой или криптобиржей, внутренний трафик которой проходит через управляемую сетевую фабрику, общая картина здесь вам уже известна. Периметровые устройства недостаточно мониторятся. Cisco, Fortinet, Ivanti и Palo Alto — все они по очереди становились заголовочным вендором в этом нарративе на протяжении последних 18 месяцев. Никто в серьёзной команде безопасности не удивлён, что SD-WAN устройство было взломано через цепочку zero-day.

Что ещё не учтено — и что, как я бы утверждал, большинство команд по-прежнему недооценивают — это вектор повторного использования сертификатов. Стандартный плейбук реагирования на инциденты после компрометации сетевого устройства: запатчить, сменить учётные данные администратора, провести аудит конфигураций. Ротация цепочки доверия сертификатов по всей фабрике сложнее, более деструктивна и регулярно откладывается. Повторное проникновение в марте 2026 года в данном инциденте — реальная демонстрация того, что откладывать это дорого обходится.

Также недооценивается следующее: предположение о том, что уязвимость с CVSS 7.8, требующая привилегий netadmin, можно безопасно депрозировать в очереди патчей. Цепочка эксплуатации в данном случае превращает это предусловие в галочку, которую атакующий уже поставил в другом месте. Патч-SLA, расставляющие приоритеты по сырому CVSS без учёта возможности формирования цепочек, продолжат генерировать подобные разборы полётов. Стоит сверять бэклог патчей с каталогом KEV CISA, а не полагаться только на CVSS.

Контрарный взгляд

Консенсусная интерпретация этого инцидента будет такой: периметровым устройствам нужен EDR, вендоры должны поставлять лучшую телеметрию, защитники нуждаются в более глубоких криминалистических инструментах для сетевых устройств. Всё это, вероятно, верно. Контрарная точка зрения: ничего из этого не произойдёт с нужной скоростью, потому что у вендоров устройств есть структурный стимул сохранять непрозрачность (контракты на поддержку, границы обслуживания, накладные расходы на производительность), а у операторов — структурный стимул не разворачивать сторонние агенты на критичном для доходов сетевом оборудовании.

Если это верно, практический ответ — не ждать паритета телеметрии с конечными точками. Нужно по умолчанию считать SD-WAN фабрику скомпрометированной и проектировать окружающую сеть так, чтобы root-shell на контроллере не означал доступ к незашифрованному клиентскому трафику, ключам подписи или возможность горизонтального перемещения в ключевую инфраструктуру. Это архитектурная позиция, а не проблема инструментария, и её некомфортно принимать, потому что она подразумевает: сетевое устройство, за которое вы заплатили семизначную сумму, не является надёжным. Раскрытие информации Mandiant делает эту позицию значительно проще обоснованной перед советом директоров, чем это было шесть месяцев назад.

Ключевые выводы

• CVSS 7.8 занижает реальный риск. CVE-2026-20245 требовала netadmin для эксплуатации, однако атакующий получил netadmin через два других нераскрытых zero-day. Приоритизация с учётом цепочек превосходит сырую оценку.
• Минимум два месяца эксплуатации до раскрытия. Если вы используете Cisco Catalyst SD-WAN, предполагайте, что патч-рекомендация отстала от реальной активности, и проводите ретроспективный поиск угроз.
• Сертификаты переживают патчи. Повторное проникновение в марте 2026 года, по всей видимости, использовало похищенные сертификаты из более раннего взлома. Ротируйте доверенные материалы, а не только учётные данные, после любой компрометации контроллера.
• Ищите артефакты troot и evil_tenant.csv в /etc/passwd, /etc/shadow и логах загрузки CSV — но предполагайте, что компетентный злоумышленник уже запустил валидационный скрипт для их удаления.
• Открытый вопрос: являются ли волны конца 2025 и марта 2026 года работой одного субъекта? Mandiant этого не утверждает. Если да — ожидайте третьей волны, как только появится следующая нераскрытая уязвимость обхода аутентификации. Проверяемая граница: если они связаны, последующее раскрытие связанной уязвимости аутентификации Cisco SD-WAN должно появиться в течение следующих двух кварталов.