Cisco SD-WAN Zero-Day CVE-2026-20245 Експлуатувався за Два Місяці до Розкриття

Два місяці. Саме такий розрив підтвердила Mandiant між активною експлуатацією CVE-2026-20245 у розгортанні Cisco Catalyst SD-WAN та публічним визнанням помилки з боку Cisco на початку цього місяця. CVSS становить 7.8, що зазвичай відносить її до другого рівня терміновості, але операційний профіль (ціль — телекомунікаційна компанія, ланцюжок із двох інших нерозкритих zero-day, прихований root-акаунт, антикриміналістичне очищення) більше нагадує вторгнення з боку державного актора найвищого рівня, ніж середньосерйозне підвищення привілеїв.

Цифри

Почнемо з CVSS. Оцінка 7.8 звучить помірно, доки не прочитаєш вектор доступу: автентифікований, локальний, що вимагає привілеїв netadmin. Як The Hacker News повідомляв, Cisco стверджує, що зловмисник вже мав netadmin на пристрої. Саме ця передумова опустила оцінку нижче 9.0. Ізольовано такий підхід технічно виправданий. У контексті — він вводить в оману, оскільки зловмисник отримав netadmin за допомогою двох інших zero-day (CVE-2026-20127 та CVE-2026-20182), які також були нерозкритими на той момент. Тож ефективна серйозність з неавтентифікованої точки відліку була значно вищою, ніж передбачає оцінка 7.8.

Хронологія має значення. Mandiant виявила два окремих періоди активності. Перший тривав з кінця 2025 року до січня 2026 року. Другий — у березні 2026 року. Розкриття Cisco відбулось у червні 2026 року. Це шестимісячне вікно від першого відомого вторгнення до публічного CVE, і щонайменше двомісячне вікно між активною експлуатацією та патч-повідомленням. Для інфраструктури, що знаходиться на межі мережі постачальника комунікаційних послуг, це тривала сліпа зона.

Сам ланцюжок варто деталізувати. Перша хвиля: несанкціоновані peer-з'єднання через CVE-2026-20127 або CVE-2026-20182 — обидва zero-day. Друга хвиля у березні 2026 року: цільовий пристрій був виправлений від CVE-2026-20127, а Cisco підтвердила, що CVE-2026-20182 не використовувалась, що залишає вкрадені сертифікати з попереднього злому як провідну гіпотезу повторного входу. Опинившись всередині, зловмисник змінив пароль адміністратора за замовчуванням, завантажив шкідливий CSV-файл з іменем evil_tenant.csv, щоб активувати CVE-2026-20245, підвищив привілеї до root, а потім створив акаунт troot, записавши його безпосередньо в /etc/passwd та /etc/shadow. Після ексфільтрації конфігурації SD-WAN фабрики пароль адміністратора було повернуто до початкового значення, щоб при наступному вході нічого не виглядало підозрілим.

Джерело не розкриває, який постачальник комунікаційних послуг постраждав, обсяг ексфільтрованої конфігурації фабрики або чи є два вікна активності діяльністю одного актора. Це останнє невідоме має значення: якщо це одна група, ми бачимо постійну кампанію з оперативною дисципліною, що вимірюється кварталами. Якщо це дві непов'язані групи, ми бачимо клас пристроїв, який незалежно перевідкривається як м'яка ціль, що, мабуть, гірше.

Що Насправді Нового

Zero-day для граничних пристроїв — не новина. Відмінність у цьому інциденті полягає в інженерній якості очищення, а не самого вторгнення. Команда Mandiant задокументувала вибіркове видалення та відновлення системних конфігураційних файлів, відкат пароля до початкового значення та (деталь, яку я б виділив як найбільш показову) скрипт перевірки, який зловмисник запустив, щоб підтвердити, що його індикатори компрометації були знищені. Це QA-дисципліна, застосована до гігієни вторгнень.

Розміщення акаунту troot також повчальне. Запис у /etc/passwd та /etc/shadow — це не тонкий хід, це підручний метод збереження присутності в Linux. Але поєднання з вибірковим відновленням файлів та скриптом самоперевірки свідчить про те, що зловмисник розраховував на те, що криміналістичні слідчі зрештою звернуть на це увагу, і діяв, виходячи з цього сценарію, а не сподіваючись уникнути виявлення.

Другий новий елемент — гіпотеза повторного входу. У хвилі березня 2026 року Cisco підтвердила, що виправлений пристрій не був повторно скомпрометований через жодну з оригінальних вразливостей обходу автентифікації. Провідна теорія Mandiant полягає в тому, що сертифікати, вкрадені під час вторгнення наприкінці 2025 року, були повторно використані для початкового доступу. Якщо це вірно, це підтверджує закономірність, яка для більшості корпоративних команд безпеки була теоретичною: виправлена вразливість не закриває двері, якщо зловмисник вийшов із вашими довірчими матеріалами. Для SD-WAN фабрик зокрема, де автентифікація між вузлами значною мірою залежить від сертифікатів, виданих контролером, це архітектурна проблема, а не проблема патчів.

Чарльз Кармакал (Charles Carmakal), CTO Mandiant Consulting, прямо висловив цю думку в LinkedIn: просунуті зловмисники продовжують в першу чергу атакувати мережеві пристрої та інші системи, що не підтримують EDR нативно. Це спостереження не нове, але доказова база за ним продовжує зростати. Формулювання Google цього інциденту як частини «тривалої тенденції» використання zero-day проти граничних пристроїв є ввічливою версією твердження про те, що галузь не змістила голку щодо цього класу атакової поверхні роками. Можна чітко нанести TTP на матрицю MITRE ATT&CK, але нанесення на карту не дорівнює виявленню, а на цих пристроях часто взагалі немає телеметрії для зіставлення.

Що Вже Враховано Командами Безпеки

Якщо ви використовуєте SD-WAN, фінтех-рейки або криптовалютну біржу, внутрішній трафік якої проходить через керовану мережеву фабрику, загальна картина вже врахована. Граничні пристрої недостатньо моніторяться. Cisco, Fortinet, Ivanti та Palo Alto — всі побували в ролі головного постачальника в цьому сценарії протягом останніх 18 місяців. Нікого на серйозній команді безпеки не здивує, що SD-WAN-пристрій був зламаний через ланцюжок zero-day.

Що не враховано і що, на мою думку, більшість команд досі недооцінює — це вектор повторного використання сертифікатів. Стандартний план реагування на інциденти після компрометації мережевого пристрою: виправити, змінити облікові дані адміністратора, перевірити конфігурації. Ротація ланцюжка довіри сертифікатів по всій фабриці складніша, більш руйнівна і регулярно відкладається. Повторний вхід у березні 2026 року в цьому інциденті є реальною демонстрацією того, що відкладання обходиться дорого.

Також недооцінено: припущення, що помилку з CVSS 7.8, яка вимагає привілеїв netadmin, можна безпечно відкласти в черзі патчів. Ланцюжок експлуатації в цьому випадку перетворює цю передумову на прапорець, який зловмисник вже заповнив в іншому місці. SLA для патчів, що сортують за сирим CVSS без урахування можливості об'єднання, продовжуватимуть породжувати такі ж post-mortem аналізи. Варто порівняти свої невиправлені помилки з каталогом KEV від CISA, а не покладатися виключно на CVSS.

Альтернативна Точка Зору

Консенсусна інтерпретація цього інциденту буде такою: граничні пристрої потребують EDR, постачальники повинні надавати кращу телеметрію, захисники потребують глибших криміналістичних інструментів для мережевих пристроїв. Мабуть, все це правда. Альтернативна інтерпретація полягає в тому, що нічого з цього не відбудеться з необхідною швидкістю, оскільки виробники пристроїв мають структурний стимул зберігати свої пристрої непрозорими (контракти підтримки, межі обслуговування, накладні витрати продуктивності), а оператори мають структурний стимул не розгортати сторонні агенти на критично важливому для доходів мережевому обладнанні.

Якщо це вірно, практична відповідь — не чекати паритету телеметрії з кінцевими точками. Натомість слід вважати SD-WAN фабрику скомпрометованою за замовчуванням і проектувати навколишню мережу так, щоб root shell на контролері не означав доступу до відкритого клієнтського трафіку, ключів підпису або бічного переміщення в основну інфраструктуру. Це архітектурна позиція, а не проблема інструментів, і її незручно приймати, оскільки вона передбачає, що мережевий пристрій, за який ви заплатили сім цифр, не є надійним. Розкриття Mandiant робить цю позицію легшою для обґрунтування перед радою директорів, ніж це було шість місяців тому.

Ключові Висновки

• CVSS 7.8 занижує реальний ризик. CVE-2026-20245 вимагав netadmin для експлуатації, але зловмисник отримав netadmin через два інших нерозкритих zero-day. Сортування з урахуванням ланцюжків краще, ніж сира оцінка.
• Мінімальне вікно експлуатації — два місяці до розкриття. Якщо ви використовуєте Cisco Catalyst SD-WAN, вважайте, що патч-повідомлення відставало від реальної активності, і проводьте ретроспективний пошук загроз.
• Сертифікати переживають патчі. Повторний вхід у березні 2026 року, ймовірно, використовував вкрадені сертифікати з попереднього злому. Замінюйте довірчі матеріали, а не лише облікові дані, після будь-якої компрометації контролера.
• Шукайте артефакти troot та evil_tenant.csv у /etc/passwd, /etc/shadow та журналах завантаження CSV, але припускайте, що компетентний актор вже запустив скрипт перевірки для їх знищення.
• Відкрите питання: чи є хвилі кінця 2025 та березня 2026 року діяльністю одного актора? Mandiant не стверджує. Якщо так — очікуйте третьої хвилі, щойно з'явиться наступна нерозкрита вразливість обходу автентифікації. Перевірна межа: якщо вони пов'язані, подальше розкриття пов'язаної вразливості автентифікації Cisco SD-WAN має з'явитися протягом наступних двох кварталів.