🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Novos detalhes foram revelados sobre como os hackers exploraram uma vulnerabilidade Cisco Catalyst SD-WAN rastreada como CVE-2026-20245 em ataques de dia zero para criar contas root desonestas em dispositivos alvo.
A vulnerabilidade CVE-2026-20245 é uma falha de injeção de comando de alta gravidade no Cisco Catalyst SD-WAN Manager (vManage), Controller (vSmart) e Validator (vBond) que permite que invasores autenticados executem comandos arbitrários como root, carregando um arquivo criado.
A Cisco disse que a vulnerabilidade resultou da validação insuficiente das informações fornecidas pelo usuário e poderia ser explorada por invasores autenticados com acesso local aos dispositivos afetados.
Quando a Cisco divulgou a falha no início deste mês, a empresa alertou que ela havia sido explorada em um número limitado de ataques, mas não forneceu detalhes.
A Cisco afirmou apenas que a exploração bem-sucedida permitiu que os invasores obtivessem privilégios de root e que alguns incidentes envolveram alterações não autorizadas na configuração enviadas para dispositivos de borda.
A empresa lançou atualizações de segurança e pediu aos clientes que atualizassem para versões fixas de software, afirmando que não havia soluções alternativas disponíveis.
Surgem novos detalhes de exploração
Num relatório publicado hoje, a Mandiant revelou que o CVE-2026-20245 foi explorado como uma vulnerabilidade de escalonamento de privilégios depois de os atacantes já terem obtido acesso aos dispositivos SD-WAN alvo.
Segundo os pesquisadores, a intrusão começou com conexões não autorizadas de peering SD-WAN observadas na infraestrutura de um provedor de serviços.
A partir de março de 2026, o agente da ameaça estabeleceu novas conexões de pares não autorizadas e autenticou-se nos dispositivos SD-WAN Manager afetados usando a conta vmanage-admin.
A Mandiant acredita que o peering não autorizado pode ter sido criado pela exploração do desvio de autenticação Cisco SD-WAN divulgado anteriormente, CVE-2026-20127 e CVE-2026-20182, embora o método exato ainda não esteja claro.
Depois de obter acesso, os invasores alteraram a senha padrão da conta de administrador, fizeram login na interface web do SD-WAN Manager e extraíram informações de configuração para dispositivos de borda, controladores e modelos SD-WAN.
A Mandiant afirma que os invasores posteriormente restauraram a senha original da conta de administrador após concluir a atividade, o que provavelmente reduziria a detecção.
Os pesquisadores dizem que os invasores exploraram o CVE-2026-20245 por meio de um recurso de upload de locatário na interface de linha de comando SD-WAN, enviando um arquivo CSV malicioso chamado “evil_tenant.csv”.
“CVE-2026-20245, uma vulnerabilidade relatada à Cisco pela Mandiant, existe na interface de linha de comando (CLI) dos controladores Cisco Catalyst SD-WAN que pode permitir que um invasor local autenticado execute comandos arbitrários como root, fornecendo um arquivo criado para o sistema afetado”, explica Mandiant.
Mandiant diz que a carga maliciosa primeiro criou backups de arquivos de configuração do sistema, incluindo /etc/passwd e /etc/shadow, antes de criar uma nova conta chamada “troot” com privilégios de nível root.
Os invasores então usaram o comando “su” do Linux para mudar da conta administrativa comprometida para a conta root recém-criada, dando-lhes controle total sobre o dispositivo.
Mandiant diz que os invasores confiaram fortemente em táticas anti-forenses para evitar a detecção.
Isso inclui fazer backup dos arquivos de configuração antes de modificá-los e restaurá-los após a exploração. Eles também limparam vestígios de exploração excluindo a carga CSV maliciosa, removendo arquivos temporários criados durante o ataque e apagando evidências da conta root fraudulenta.
Os pesquisadores também observaram a execução de um script de validação para confirmar que todos os vestígios do comprometimento foram removidos do dispositivo.
A Mandiant afirma que algumas atividades de peering desonestas observadas em março de 2026 ocorreram em sistemas que não eram vulneráveis a nenhuma das falhas de desvio de autenticação divulgadas anteriormente.
A Cisco disse aos pesquisadores que a violação não envolvia o CVE-2026-20182 e disse que era possível que os invasores usassem certificados roubados durante um comprometimento anterior para recuperar o acesso aos dispositivos.
A Mandiant publicou indicadores de comprometimento, endereços IP de invasores e orientações para ajudar as organizações a determinar se foram comprometidos.
As organizações devem coletar dados de diagnóstico de dispositivos SD-WAN, verificar sinais de conexões de peering não autorizadas e atualizar para as versões de software mais recentes, caso ainda não o tenham feito.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
A vulnerabilidade CVE-2026-20245 é uma falha de injeção de comando de alta gravidade no Cisco Catalyst SD-WAN Manager (vManage), Controller (vSmart) e Validator (vBond) que permite que invasores autenticados executem comandos arbitrários como root, carregando um arquivo criado.
A Cisco disse que a vulnerabilidade resultou da validação insuficiente das informações fornecidas pelo usuário e poderia ser explorada por invasores autenticados com acesso local aos dispositivos afetados.
Quando a Cisco divulgou a falha no início deste mês, a empresa alertou que ela havia sido explorada em um número limitado de ataques, mas não forneceu detalhes.
A Cisco afirmou apenas que a exploração bem-sucedida permitiu que os invasores obtivessem privilégios de root e que alguns incidentes envolveram alterações não autorizadas na configuração enviadas para dispositivos de borda.
A empresa lançou atualizações de segurança e pediu aos clientes que atualizassem para versões fixas de software, afirmando que não havia soluções alternativas disponíveis.
Surgem novos detalhes de exploração
Num relatório publicado hoje, a Mandiant revelou que o CVE-2026-20245 foi explorado como uma vulnerabilidade de escalonamento de privilégios depois de os atacantes já terem obtido acesso aos dispositivos SD-WAN alvo.
Segundo os pesquisadores, a intrusão começou com conexões não autorizadas de peering SD-WAN observadas na infraestrutura de um provedor de serviços.
A partir de março de 2026, o agente da ameaça estabeleceu novas conexões de pares não autorizadas e autenticou-se nos dispositivos SD-WAN Manager afetados usando a conta vmanage-admin.
A Mandiant acredita que o peering não autorizado pode ter sido criado pela exploração do desvio de autenticação Cisco SD-WAN divulgado anteriormente, CVE-2026-20127 e CVE-2026-20182, embora o método exato ainda não esteja claro.
Depois de obter acesso, os invasores alteraram a senha padrão da conta de administrador, fizeram login na interface web do SD-WAN Manager e extraíram informações de configuração para dispositivos de borda, controladores e modelos SD-WAN.
A Mandiant afirma que os invasores posteriormente restauraram a senha original da conta de administrador após concluir a atividade, o que provavelmente reduziria a detecção.
Os pesquisadores dizem que os invasores exploraram o CVE-2026-20245 por meio de um recurso de upload de locatário na interface de linha de comando SD-WAN, enviando um arquivo CSV malicioso chamado “evil_tenant.csv”.
“CVE-2026-20245, uma vulnerabilidade relatada à Cisco pela Mandiant, existe na interface de linha de comando (CLI) dos controladores Cisco Catalyst SD-WAN que pode permitir que um invasor local autenticado execute comandos arbitrários como root, fornecendo um arquivo criado para o sistema afetado”, explica Mandiant.
Mandiant diz que a carga maliciosa primeiro criou backups de arquivos de configuração do sistema, incluindo /etc/passwd e /etc/shadow, antes de criar uma nova conta chamada “troot” com privilégios de nível root.
Os invasores então usaram o comando “su” do Linux para mudar da conta administrativa comprometida para a conta root recém-criada, dando-lhes controle total sobre o dispositivo.
Mandiant diz que os invasores confiaram fortemente em táticas anti-forenses para evitar a detecção.
Isso inclui fazer backup dos arquivos de configuração antes de modificá-los e restaurá-los após a exploração. Eles também limparam vestígios de exploração excluindo a carga CSV maliciosa, removendo arquivos temporários criados durante o ataque e apagando evidências da conta root fraudulenta.
Os pesquisadores também observaram a execução de um script de validação para confirmar que todos os vestígios do comprometimento foram removidos do dispositivo.
A Mandiant afirma que algumas atividades de peering desonestas observadas em março de 2026 ocorreram em sistemas que não eram vulneráveis a nenhuma das falhas de desvio de autenticação divulgadas anteriormente.
A Cisco disse aos pesquisadores que a violação não envolvia o CVE-2026-20182 e disse que era possível que os invasores usassem certificados roubados durante um comprometimento anterior para recuperar o acesso aos dispositivos.
A Mandiant publicou indicadores de comprometimento, endereços IP de invasores e orientações para ajudar as organizações a determinar se foram comprometidos.
As organizações devem coletar dados de diagnóstico de dispositivos SD-WAN, verificar sinais de conexões de peering não autorizadas e atualizar para as versões de software mais recentes, caso ainda não o tenham feito.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #mandiant #revela #como #os #ataques #de #dia #zero #do #cisco #sdwan #obtiveram #acesso #root
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário