📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça desconhecido explorou uma falha de segurança de alta gravidade divulgada recentemente, impactando o Cisco Catalyst SD-WAN como um dia zero, pelo menos dois meses antes de ser divulgada publicamente, de acordo com novas descobertas da Mandiant, de propriedade do Google.
A vulnerabilidade, rastreada como CVE-2026-20245 (pontuação CVSS: 7,8), permite que um invasor local autenticado execute comandos arbitrários com privilégios elevados, fornecendo um arquivo criado ao sistema afetado, aproveitando a validação insuficiente do dispositivo de entrada fornecida pelo usuário.
No inÃcio deste mês, a Cisco reconheceu que tomou conhecimento da exploração desta vulnerabilidade, acrescentando que um agente malicioso deve ter privilégios de netadmin num sistema afetado para realizar um ataque bem-sucedido.
“Durante toda a intrusão, para manter a segurança operacional e evitar a detecção, o agente da ameaça empregou consistentemente técnicas anti-forenses, excluindo e restaurando seletivamente arquivos de configuração do sistema que foram modificados durante suas atividades”, disseram os pesquisadores da Mandiant Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan.
O incidente, acrescentou o braço de resposta a incidentes e inteligência de ameaças da gigante da tecnologia, teve como alvo um provedor de serviços de comunicações não especificado para elevar uma conta de administrador comprometida ao acesso total no nÃvel raiz.
Foram detectados dois perÃodos distintos de atividade não autorizada, um ocorrendo entre o final de 2025 e janeiro de 2026 e o outro em março de 2026. Nesta fase, não está claro se estes dois eventos estão ligados e são o trabalho do mesmo ator de ameaça.
Durante a primeira onda, a vÃtima teria experimentado conexões de peering não autorizadas que provavelmente exploraram uma das duas falhas de desvio de autenticação nos controladores Cisco Catalyst SD-WAN (CVE-2026-20127 ou CVE-2026-20182). É importante notar que ambas as vulnerabilidades de segurança eram dias zero não divulgadas naquele momento.
Então, em março de 2026, uma segunda onda de conexões de peering não autorizadas teve como alvo um dispositivo que executava uma versão de software mais recente que foi corrigida contra CVE-2026-20127. Desde então, a Cisco confirmou que essas conexões não aproveitaram o CVE-2026-20182, levantando a possibilidade de que o invasor, que pode ou não estar por trás das conexões de peering não autorizadas anteriores, tenha se baseado em certificados roubados de uma violação anterior do mesmo dispositivo para obter acesso inicial.
“O invasor então alterou as credenciais de administrador padrão antes de explorar o CVE-2026-20245 como dia zero por meio de um upload de arquivo CSV malicioso (evil_tenant.csv)”, disse Mandiant. "Essa exploração permitiu que eles aumentassem privilégios e criassem uma conta de usuário não autorizada (chamada 'troot') com controle total do shell no nÃvel raiz."
Descobriu-se também que os invasores encobriram consistentemente seus rastros, excluindo arquivos criados por eles, revertendo alterações de configuração e executando scripts para garantir que nenhuma evidência fosse deixada para trás e limitar a capacidade dos defensores de avaliar toda a extensão do comprometimento.
“Depois de alterar a senha de administrador padrão e exfiltrar a configuração da estrutura SD-WAN, o ator alterou a senha de volta ao seu valor original para que um administrador que fizesse login não percebesse que algo estava errado”, disse Austin Larsen, principal analista de ameaças do Google Threat Intelligence Group (GTIG).
“Eles escalaram para root por meio de um upload malicioso de CSV, criaram uma conta “troot” oculta em /etc/passwd e /etc/shadow, excluÃram todos os arquivos que tocaram e executaram um script de validação para confirmar que seus indicadores haviam desaparecido.”
O Google destacou que a atividade mais uma vez destaca a “tendência contÃnua” de maus atores que utilizam o dia zero como arma em dispositivos de ponta como SD-WAN, pois eles não possuem a telemetria necessária para análises forenses profundas, e uma posição segura nesses sistemas pode facilitar a visibilidade persistente do tráfego interno em toda a estrutura.
“Os adversários avançados continuam a visar e explorar principalmente dispositivos de rede e outros sistemas que não suportam nativamente soluções EDR”, disse Charles Carmakal, diretor de tecnologia da Mandiant Consulting, em um post no LinkedIn.
A vulnerabilidade, rastreada como CVE-2026-20245 (pontuação CVSS: 7,8), permite que um invasor local autenticado execute comandos arbitrários com privilégios elevados, fornecendo um arquivo criado ao sistema afetado, aproveitando a validação insuficiente do dispositivo de entrada fornecida pelo usuário.
No inÃcio deste mês, a Cisco reconheceu que tomou conhecimento da exploração desta vulnerabilidade, acrescentando que um agente malicioso deve ter privilégios de netadmin num sistema afetado para realizar um ataque bem-sucedido.
“Durante toda a intrusão, para manter a segurança operacional e evitar a detecção, o agente da ameaça empregou consistentemente técnicas anti-forenses, excluindo e restaurando seletivamente arquivos de configuração do sistema que foram modificados durante suas atividades”, disseram os pesquisadores da Mandiant Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan.
O incidente, acrescentou o braço de resposta a incidentes e inteligência de ameaças da gigante da tecnologia, teve como alvo um provedor de serviços de comunicações não especificado para elevar uma conta de administrador comprometida ao acesso total no nÃvel raiz.
Foram detectados dois perÃodos distintos de atividade não autorizada, um ocorrendo entre o final de 2025 e janeiro de 2026 e o outro em março de 2026. Nesta fase, não está claro se estes dois eventos estão ligados e são o trabalho do mesmo ator de ameaça.
Durante a primeira onda, a vÃtima teria experimentado conexões de peering não autorizadas que provavelmente exploraram uma das duas falhas de desvio de autenticação nos controladores Cisco Catalyst SD-WAN (CVE-2026-20127 ou CVE-2026-20182). É importante notar que ambas as vulnerabilidades de segurança eram dias zero não divulgadas naquele momento.
Então, em março de 2026, uma segunda onda de conexões de peering não autorizadas teve como alvo um dispositivo que executava uma versão de software mais recente que foi corrigida contra CVE-2026-20127. Desde então, a Cisco confirmou que essas conexões não aproveitaram o CVE-2026-20182, levantando a possibilidade de que o invasor, que pode ou não estar por trás das conexões de peering não autorizadas anteriores, tenha se baseado em certificados roubados de uma violação anterior do mesmo dispositivo para obter acesso inicial.
“O invasor então alterou as credenciais de administrador padrão antes de explorar o CVE-2026-20245 como dia zero por meio de um upload de arquivo CSV malicioso (evil_tenant.csv)”, disse Mandiant. "Essa exploração permitiu que eles aumentassem privilégios e criassem uma conta de usuário não autorizada (chamada 'troot') com controle total do shell no nÃvel raiz."
Descobriu-se também que os invasores encobriram consistentemente seus rastros, excluindo arquivos criados por eles, revertendo alterações de configuração e executando scripts para garantir que nenhuma evidência fosse deixada para trás e limitar a capacidade dos defensores de avaliar toda a extensão do comprometimento.
“Depois de alterar a senha de administrador padrão e exfiltrar a configuração da estrutura SD-WAN, o ator alterou a senha de volta ao seu valor original para que um administrador que fizesse login não percebesse que algo estava errado”, disse Austin Larsen, principal analista de ameaças do Google Threat Intelligence Group (GTIG).
“Eles escalaram para root por meio de um upload malicioso de CSV, criaram uma conta “troot” oculta em /etc/passwd e /etc/shadow, excluÃram todos os arquivos que tocaram e executaram um script de validação para confirmar que seus indicadores haviam desaparecido.”
O Google destacou que a atividade mais uma vez destaca a “tendência contÃnua” de maus atores que utilizam o dia zero como arma em dispositivos de ponta como SD-WAN, pois eles não possuem a telemetria necessária para análises forenses profundas, e uma posição segura nesses sistemas pode facilitar a visibilidade persistente do tráfego interno em toda a estrutura.
“Os adversários avançados continuam a visar e explorar principalmente dispositivos de rede e outros sistemas que não suportam nativamente soluções EDR”, disse Charles Carmakal, diretor de tecnologia da Mandiant Consulting, em um post no LinkedIn.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisco #catalyst #sdwan #zeroday #cve202620245 #explorado #para #obter #acesso #root
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário