Zero-day no Cisco SD-WAN: root sem detecção por meses

Atacantes desconhecidos exploraram a falha CVE-2026-20245 no Cisco Catalyst SD-WAN como zero-day por dois meses, obtendo acesso root total a dispositivos de rede sem deixar rastros. A Mandiant (Google) revelou que o grupo usou um CSV malicioso para escalar privilégios, criou uma conta oculta e apagou todas as evidências antes de sair. A Cisco já lançou patches e não há workaround disponível.

Acesso root por meses sem detecção

Os detalhes técnicos da intrusão mostram um nível de sofisticação raro. Uma falha de injeção de comando no Cisco Catalyst SD-WAN, registrada como CVE-2026-20245 (CVSS 7.8), foi explorada por pelo menos dois meses antes da divulgação pública da correção. O ataque, revelado pela Mandiant, visou uma operadora de telecomunicações e resultou em acesso root total aos dispositivos SD-WAN — sem que os administradores notassem qualquer alteração nos logs ou configurações.

Pontos-chave:

• O atacante usou dois zero-days de bypass de autenticação para entrar na rede SD-WAN
• Carregou um CSV malicioso na CLI para escalar privilégios até root
• Criou conta oculta “troot”, exfiltrou configurações e apagou todos os vestígios
• A Cisco lançou patches — sem workaround disponível

Cronologia da intrusão

A Mandiant identificou dois períodos distintos de atividade não autorizada na infraestrutura SD-WAN da vítima. O primeiro ocorreu entre o final de 2025 e janeiro de 2026, quando o atacante estabeleceu conexões de peering não autorizadas nos controladores Cisco Catalyst SD-WAN. Essas conexões exploraram duas falhas de bypass de autenticação não divulgadas: CVE-2026-20127 e CVE-2026-20182.

Em março de 2026, veio a segunda onda. O alvo era um dispositivo com software mais recente, já corrigido contra o CVE-2026-20127. A Cisco confirmou que o CVE-2026-20182 também não foi utilizado, o que indica que o atacante reaproveitou certificados roubados em um comprometimento prévio para recuperar o acesso ao equipamento. Não está claro se os dois eventos são obra do mesmo grupo.

Esse padrão de reaproveitamento de credenciais e certificados roubados é consistente com o que outras falhas na linha de produtos Cisco têm revelado nos últimos meses — incluindo o CVE-2026-20230 no Cisco Unified CM, que também concedeu root sem autenticação e entrou em exploração ativa.

O truque do CSV malicioso

Com acesso ao SD-WAN Manager, o atacante seguiu um playbook meticuloso. Primeiro, mudou a senha padrão da conta admin e fez login na interface web. Extraiu as configurações completas dos dispositivos edge, controladores e templates da rede SD-WAN. Depois, restaurou a senha original para que nenhum administrador percebesse anomalia ao logar.

O passo decisivo veio pela linha de comando (CLI). O atacante explorou o CVE-2026-20245 usando um recurso legítimo de upload de tenant. Carregou um arquivo CSV chamado evil_tenant.csv, que continha comandos de injeção executados diretamente como root no sistema operacional do controlador.

O payload primeiro fez backup dos arquivos /etc/passwd e /etc/shadow, depois criou uma conta oculta chamada “troot” com privilégios root completos. Usando o comando su do Linux, o atacante migrou da conta admin comprometida para a nova conta root. A partir desse momento, tinha controle absoluto sobre o dispositivo e visibilidade de todo o tráfego que transitava pelo fabric SD-WAN.

Anti-forense metódico

O que diferencia esse ataque de intrusões comuns é a disciplina operacional do atacante. Segundo os pesquisadores Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan, da Mandiant, o grupo aplicou técnicas anti-forenses em cada etapa da operação:

• Fazia backup de arquivos de configuração antes de qualquer modificação
• Restaurava as configurações originais após cada alteração
• Deletava o CSV malicioso e todos os arquivos temporários gerados durante o ataque
• Executava um script de validação para confirmar que nenhum indicador de comprometimento permanecia no dispositivo
• Mantinha a senha do admin original para reduzir drasticamente a chance de detecção humana

Austin Larsen, analista principal de ameaças do Google Threat Intelligence Group, sintetizou: “Eles escalaram para root através de upload malicioso de CSV, criaram uma conta oculta ‘troot’ em /etc/passwd e /etc/shadow, depois deletaram cada arquivo que tocaram e rodaram um script de validação para confirmar que seus indicadores tinham desaparecido.”

Dispositivos de borda no alvo

Charles Carmakal, CTO da Mandiant Consulting, alertou que o episódio reforça uma tendência clara: adversários avançados miram prioritariamente dispositivos de rede e sistemas que não suportam soluções EDR nativas. A escassez de telemetria nesses equipamentos dificulta a análise forense e permite que invasores mantenham persistência com visibilidade total sobre o tráfego interno.

Essa não é uma ameaça isolada. Falhas em dispositivos de borda como firewalls Fortinet, roteadores Ubiquiti, controladores Ivanti e sistemas SD-WAN como o da Cisco formam um padrão. Recentemente, a falha Cordyceps em pipelines CI/CD expôs mais de 300 repositórios críticos no GitHub — incluindo projetos da Microsoft, Google, Apache e Cloudflare — a ataques de cadeia de suprimentos. A superfície de ataque cresce em duas frentes simultaneamente: infraestrutura de rede e cadeia de desenvolvimento.

O que fazer agora

A Cisco lançou correções para o CVE-2026-20245, CVE-2026-20127 e CVE-2026-20182. Não existem workarounds documentados — a atualização de software é a única defesa. Organizações que operam Cisco Catalyst SD-WAN devem adotar as seguintes medidas com prioridade:

1. Atualizar imediatamente o SD-WAN Manager (vManage), Controller (vSmart) e Validator (vBond) para as versões corrigidas indicadas no advisory oficial da Cisco
2. Coletar dados de diagnóstico dos dispositivos SD-WAN e auditar conexões de peering em busca de nós não autorizados
3. Auditar contas do sistema — verificar /etc/passwd e /etc/shadow em busca de usuários desconhecidos como “troot”
4. Verificar logs de upload de tenant na CLI para arquivos CSV suspeitos, especialmente uploads fora do horário de manutenção
5. Rotacionar certificados SD-WAN caso exista suspeita de comprometimento anterior, mesmo que não confirmado
6. Implementar monitoramento contínuo de alterações em configurações de dispositivos de borda, com alertas para mudanças de senha e uploads de arquivos

Referências

• The Hacker News — Cisco Catalyst SD-WAN Zero-Day CVE-2026-20245 Exploited to Gain Root Access
• BleepingComputer — Mandiant reveals how Cisco SD-WAN zero-day attacks gained root access
• The Hacker News — Cordyceps CI/CD Flaws Expose 300+ GitHub Repositories to Supply-Chain Attacks
• Cisco — Cisco Catalyst SD-WAN Security Advisory (CVE-2026-20245)