Um grupo de atacantes desconhecido explorou a vulnerabilidade CVE-2026-20245 no Cisco Catalyst SD-WAN Manager como zero-day durante pelo menos dois meses antes da divulgação pública, conseguindo escalar privilégios de administrador para acesso root completo em uma provedora de telecomunicações. A falha, com pontuação CVSS 7.8, permite execução arbitrária de comandos com privilégios elevados por meio de upload de arquivo CSV manipulado.
O que é o CVE-2026-20245
A vulnerabilidade CVE-2026-20245 afeta o Cisco Catalyst SD-WAN Manager e permite que um atacante autenticado com privilégios de netadmin execute comandos arbitrários no sistema. O exploit ocorre por falha na validação de entrada do usuário durante o upload de arquivos CSV — o atacante envia um arquivo malicioso que, ao ser processado, confere acesso root ao invasor. Esta é a sétima vulnerabilidade zero-day em produtos SD-WAN da Cisco explorada em 2026.
| Atributo | Detalhe |
|---|---|
| Identificador | CVE-2026-20245 |
| CVSS | 7.8 (Alto) |
| Produto afetado | Cisco Catalyst SD-WAN Manager |
| Pré-requisito | Conta autenticada com privilégios de netadmin |
| Vetor | Upload de arquivo CSV manipulado |
| Impacto | Execução de comandos como root |
Cronologia do ataque
- Final de 2025 – jan/2026: Primeira onda de acesso não autorizado via peering connections, explorando CVE-2026-20127 e/ou CVE-2026-20182 (zero-days à época)
- Março de 2026: Segunda onda atinge dispositivo com versão mais recente, já corrigido contra CVE-2026-20127. O atacante possivelmente usou certificados roubados de um breach anterior
- Março de 2026: Upload do arquivo
evil_tenant.csvpara exploração do CVE-2026-20245, criação da conta oculta “troot” em /etc/passwd e /etc/shadow - Junho de 2026: Mandiant divulga detalhes do incidente; Cisco confirma exploração ativa
Técnicas anti-forenses
O grupo demonstrou sofisticação ao apagar rastros de forma sistemática. Após alterar a senha padrão do administrador e exfiltrar a configuração do SD-WAN, o atacante restaurou a senha original para que nenhum administrador percebesse a alteração. Todos os arquivos criados durante a intrusão foram removidos, e um script de validação foi executado para confirmar que nenhum indicador permanecia no sistema.
Charles Carmakal, CTO da Mandiant Consulting, ressaltou que adversários avançados continuam priorizando dispositivos de rede que não suportam nativamente soluções EDR, pois oferecem pouca telemetria para análise forense.
Como se proteger
- Atualize imediatamente o Cisco Catalyst SD-WAN Manager para a versão corrigida disponibilizada pela Cisco
- Revogue e gire todos os certificados de dispositivos SD-WAN que possam ter sido comprometidos
- Altere credenciais padrão de administrador e audite contas com acesso privilegiado no sistema
- Monitore logs de peering connections anômalas e uploads de arquivos CSV no SD-WAN Manager
- Implemente segmentação de rede para limitar o impacto de comprometimento de dispositivos de borda