Một nhóm tấn công tinh vi đang nhắm mục tiêu tích cực vào hạ tầng SD-WAN tại một nhà cung cấp dịch vụ lớn. Chiến dịch này đã dẫn đến việc khai thác một lỗ hổng zero-day leo thang đặc quyền, hiện được theo dõi là CVE-2026-20245 (CVSS 7.8), trong Cisco Catalyst SD-WAN Manager. Lỗ hổng này cho phép kẻ tấn công âm thầm leo thang từ một tài khoản quản trị bị xâm nhập lên quyền truy cập root hoàn toàn.
Phân tích Lỗ hổng CVE-2026-20245
CVE-2026-20245 nằm trong giao diện dòng lệnh (CLI) của Cisco Catalyst SD-WAN Controllers và được phân loại theo CWE-116 (Sự mã hóa hoặc thoát ký tự không chính xác của đầu ra). Lỗ hổng này bắt nguồn từ việc tính năng tải tệp của thiết bị không xác thực hoặc lọc đúng cách đầu vào do người dùng cung cấp trước khi nó được xử lý bởi các trình trợ giúp shell có đặc quyền.
Chi tiết Kỹ thuật Khai thác
Một kẻ tấn công đã được xác thực với đặc quyền cấp netadmin có thể tải lên một tệp CSV được chế tạo đặc biệt. Tệp này kích hoạt một lỗ hổng command injection, cho phép thực thi lệnh tùy ý với quyền root. Tệp này có thể bao gồm các lệnh để sửa đổi các tệp hệ thống quan trọng như /etc/passwd và /etc/shadow, chèn một tài khoản người dùng mới với toàn bộ quyền root.
Lỗ hổng này ảnh hưởng đến tất cả các loại triển khai, bao gồm On-Prem, Cisco SD-WAN Cloud, Cloud-Pro và các môi trường chính phủ FedRAMP.
Diễn biến Cuộc tấn công
Cuộc xâm nhập diễn ra qua hai giai đoạn. Từ cuối năm 2025 đến tháng 1 năm 2026, các nhà nghiên cứu đã quan sát thấy nhiều kết nối peering trái phép đến các thiết bị SD-WAN Manager của nạn nhân. Các kết nối này có khả năng đã khai thác các lỗ hổng bỏ qua xác thực liên quan, CVE-2026-20127 (CVSS 10.0) và CVE-2026-20182 (CVSS 10.0). Cả hai lỗ hổng này đều cho phép kẻ tấn công từ xa chưa được xác thực có được đặc quyền quản trị.
Trong khoảng thời gian này, các lỗ hổng trên chưa được tiết lộ và chưa được vá, cung cấp cho kẻ tấn công một điểm vào không bị cản trở. Bắt đầu từ tháng 3 năm 2026, nhóm tấn công đã thiết lập các kết nối peer giả mới và xác thực vào SD-WAN Manager thông qua SSH bằng tài khoản mặc định vmanage-admin.
Các Bước Thực thi Tấn công
Sau khi truy cập trái phép, kẻ tấn công đã thay đổi mật khẩu tài khoản admin mặc định. Sau đó, chúng đăng nhập trực tiếp vào giao diện web của SD-WAN Manager và trích xuất cấu hình thiết bị, bao gồm các mẫu thiết bị biên và cấu hình đang chạy. Điều đáng chú ý là mật khẩu sau đó đã được khôi phục về trạng thái ban đầu để tránh gây nghi ngờ trong quá trình hoạt động định kỳ.
Sau khi thiết lập một phiên SSH với tài khoản quản trị, kẻ tấn công đã thực thi một lệnh tải tệp có mục tiêu để cung cấp một tệp có tên evil_tenant.csv. Tải trọng khai thác được nhúng trong tệp này đã thao túng các tệp /etc/passwd và /etc/shadow của hệ thống, chèn một tài khoản người dùng mới có tên troot với đầy đủ quyền UID 0 root.
Kẻ tấn công sau đó đã leo thang lên tài khoản này thông qua lệnh su (substitute user), đạt được quyền kiểm soát hoàn toàn mặt phẳng quản lý. Để duy trì an ninh hoạt động, nhóm tấn công đã thực thi một tập lệnh xác thực để kiểm tra và xóa một cách có hệ thống tất cả các dấu vết pháp y.
Dọn dẹp và Duy trì Quyền truy cập
Quá trình này bao gồm việc xóa tệp evil_tenant.csv, khôi phục cấu hình vbond_vsmart_tenant_list ban đầu, hoàn nguyên /etc/passwd và /etc/shadow về trạng thái sao lưu của chúng và xác nhận việc xóa tài khoản troot. Đây là một quá trình làm sạch có phương pháp nhằm loại bỏ tất cả các chỉ số xâm nhập (IOC).
Các chỉ số xâm nhập (IOC) có thể bao gồm:
- Kết nối peering trái phép đến các thiết bị SD-WAN Manager.
- Sử dụng các lỗ hổng như CVE-2026-20127 và CVE-2026-20182 để giành quyền truy cập ban đầu.
- Tải lên các tệp độc hại có cấu trúc đặc biệt (ví dụ:
evil_tenant.csv). - Sửa đổi các tệp
/etc/passwdvà/etc/shadow. - Tạo tài khoản người dùng mới (ví dụ:
troot) với quyền root. - Thay đổi mật khẩu tài khoản quản trị mặc định.
- Trích xuất cấu hình thiết bị.
- Xóa dấu vết hoạt động.
Khuyến nghị Bảo mật
Các tổ chức đang chạy Cisco Catalyst SD-WAN Manager cần hành động ngay lập tức để giảm thiểu rủi ro. Chiến dịch này minh họa cho mô hình “sống sót nhờ biên giới” (living off the edge) ngày càng được ưa chuộng bởi các tác nhân nhắm mục tiêu vào các thiết bị mạng hoạt động như hộp đen với khả năng giám sát hạn chế, đồng thời đóng vai trò là hệ thần kinh trung tâm của kết nối doanh nghiệp.
Các tổ chức vận hành môi trường SD-WAN phân tán phải coi mặt phẳng quản lý là một bề mặt tấn công Cấp 1. Cần thực thi các biện pháp kiểm soát truy cập nghiêm ngặt, giám sát liên tục và một lịch trình cập nhật bản vá tích cực. Việc chậm trễ trong việc vá các lỗ hổng này có thể dẫn đến hệ thống bị xâm nhập nghiêm trọng.
Để bảo vệ chống lại các mối đe dọa tương tự, nên:
- Ưu tiên cập nhật bản vá cho tất cả các thiết bị mạng, đặc biệt là các thiết bị quản lý như SD-WAN.
- Kiểm soát truy cập chặt chẽ đối với các thiết bị quản lý mạng, chỉ cấp quyền truy cập cho các nhân viên cần thiết và sử dụng xác thực đa yếu tố (MFA) khi có thể.
- Giám sát liên tục nhật ký hoạt động và lưu lượng mạng để phát hiện sớm các hoạt động bất thường hoặc đáng ngờ.
- Thực hiện kiểm tra bảo mật định kỳ và đánh giá rủi ro đối với hạ tầng mạng.
- Phân đoạn mạng để hạn chế phạm vi ảnh hưởng nếu xảy ra xâm nhập.
Các nhà nghiên cứu bảo mật và các chuyên gia an ninh mạng nên theo dõi các cảnh báo bảo mật từ các nhà cung cấp như Cisco và các tổ chức uy tín như CISA để cập nhật các lỗ hổng mới nhất và các mối đe dọa mạng. Để biết thêm chi tiết về các lỗ hổng được báo cáo, vui lòng tham khảo NVD.
