Un actor de amenazas desconocido aprovechó una falla de seguridad de alta gravedad recientemente revelada que afectaba a Cisco Catalyst SD-WAN como un día cero al menos dos meses antes de que se revelara públicamente, según nuevos hallazgos de Mandiant, propiedad de Google.
La vulnerabilidad, rastreada como CVE-2026-20245 (puntuación CVSS: 7,8), permite a un atacante local autenticado ejecutar comandos arbitrarios con privilegios elevados proporcionando un archivo manipulado al sistema afectado aprovechando la validación insuficiente del dispositivo de la entrada proporcionada por el usuario.
A principios de este mes, Cisco reconoció que se dio cuenta de la explotación de esta vulnerabilidad y agregó que un actor malicioso debe tener privilegios de administrador de red en un sistema afectado para realizar un ataque exitoso.
«A lo largo de la intrusión, para mantener la seguridad operativa y evitar la detección, el actor de amenazas empleó constantemente técnicas antiforenses, eliminando y restaurando selectivamente archivos de configuración del sistema que fueron modificados durante sus actividades», los investigadores de Mandiant Chester Sng, Pete Boonyakarn y Logeswaran Nadarajan. dicho.
El incidente, agregó el brazo de inteligencia de amenazas y respuesta a incidentes del gigante tecnológico, tuvo como objetivo a un proveedor de servicios de comunicaciones no especificado para elevar una cuenta de administrador comprometida a acceso completo a nivel de raíz.
Se han detectado dos períodos distintos de actividad no autorizada, uno que tuvo lugar entre finales de 2025 y enero de 2026 y el otro en marzo de 2026. En este momento, no está claro si estos dos eventos están conectados y son el trabajo del mismo actor de amenazas.
Durante la primera ola, se dice que la víctima experimentó conexiones de peering no autorizadas que probablemente explotaron una de las dos fallas de omisión de autenticación en los controladores Cisco Catalyst SD-WAN (CVE-2026-20127 o CVE-2026-20182). Vale la pena señalar que ambas vulnerabilidades de seguridad eran días cero no reveladas en ese momento.
Luego, en marzo de 2026, una segunda oleada de conexiones de peering no autorizadas tuvo como objetivo un dispositivo que ejecutaba una versión de software más nueva que fue parcheada contra CVE-2026-20127. Desde entonces, Cisco ha confirmado que estas conexiones no aprovecharon CVE-2026-20182, lo que plantea la posibilidad de que el atacante, que puede haber estado o no detrás de las conexiones de intercambio de tráfico no autorizadas anteriores, se basó en certificados robados de una infracción anterior del mismo dispositivo para obtener acceso inicial.
«Luego, el atacante cambió las credenciales de administrador predeterminadas antes de explotar CVE-2026-20245 como día cero mediante la carga de un archivo CSV malicioso (evil_tenant.csv)», dijo Mandiant. «Este exploit les permitió escalar privilegios y crear una cuenta de usuario fraudulenta (llamada 'troot') con control total de shell a nivel de raíz».
También se ha descubierto que los atacantes cubren constantemente sus huellas eliminando archivos creados por ellos, revirtiendo los cambios de configuración y ejecutando scripts para garantizar que no quede ninguna evidencia y limitar la capacidad de los defensores para evaluar el alcance total del compromiso.
«Después de cambiar la contraseña de administrador predeterminada y filtrar la configuración de la estructura SD-WAN, el actor volvió a cambiar la contraseña a su valor original para que un administrador que iniciara sesión no notara que algo estaba mal», Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group (GTIG), dicho.
«Escalaron a root a través de una carga CSV maliciosa, crearon una cuenta «troot» oculta en /etc/passwd y /etc/shadow, luego eliminaron todos los archivos que tocaron y ejecutaron un script de validación para confirmar que sus indicadores habían desaparecido».
Google señaló que la actividad resalta una vez más la «tendencia continua» de los malos actores que utilizan los días cero como armas en dispositivos de borde como SD-WAN, ya que carecen de la telemetría necesaria para un análisis forense profundo, y un punto de apoyo en esos sistemas puede facilitar la visibilidad persistente del tráfico interno en todo el tejido.
«Los adversarios avanzados continúan atacando y explotando principalmente dispositivos de red y otros sistemas que no soportan de forma nativa soluciones EDR», dijo Charles Carmakal, director de tecnología de Mandiant Consulting, dicho en una publicación en LinkedIn.




