Varnostni raziskovalci iz podjetja Mandiant so objavili poglobljeno analizo napadov ničelnega dne, ki so ciljali na infrastrukturo Cisco Catalyst SD-WAN. Ranljivost, katalogizirana kot CVE-2026-20245, je napadalcem omogočila pridobitev najvišjih sistemskih privilegijev na prizadetih napravah – kar v praksi pomeni popoln nadzor nad omrežno infrastrukturo žrtve.
Izkoriščanje ranljivosti je potekalo v več fazah. Napadalci so v prvi fazi izkoristili pomanjkljivo preverjanje vhodnih podatkov v upravljalnem vmesniku Cisco Catalyst SD-WAN, kar jim je omogočilo izvajanje samovoljnih ukazov brez predhodne avtentikacije. V nadaljevanju so z verigami privilegiranega eskaliranja uspeli ustvariti skrite root račune, ki so preživeli ponovne zagone naprav in posodobitve firmware-a, kar nakazuje na visoko raven sofisticiranosti napadalcev.
Mandiant ugotavlja, da so bili napadi ciljani in da za njimi najverjetneje stojijo napredne trajne grožnje (APT), ki delujejo v interesu nacionalnih držav. Prizadete so predvsem organizacije v sektorjih kritične infrastrukture, telekomunikacij in finančnih storitev. Glede na naravo napadov in izbor tarč strokovnjaki sumijo na motiv kibernetske vohunske dejavnosti.
Cisco je za ranljivost CVE-2026-20245 izdal varnostni popravek in vse uporabnike Catalyst SD-WAN poziva k takojšnji posodobitvi na najnovejšo različico programske opreme. Ocena resnosti ranljivosti po lestvici CVSS znaša 9,8, kar jo uvršča med kritične.
Za IT ekipe, ki upravljajo Cisco SD-WAN okolja, priporočamo naslednje ukrepe: nemudoma preverite nameščene različice programske opreme in jih posodobite v skladu z varnostnimi obvestili Cisco PSIRT, preglejte dnevnike dostopa za morebitne sumljive aktivnosti in nepooblaščene uporabniške račune, omejite dostop do upravljalnih vmesnikov izključno na zaupanja vredne naslove IP ter implementirajte večfaktorsko avtentikacijo za vse administrativne dostope. Poleg tega je smiselno preveriti celovitost konfiguracij na vseh SD-WAN vozliščih in aktivirati napredne mehanizme zaznavanja anomalij.
Incident še enkrat poudarja pomen pravočasnega nameščanja varnostnih popravkov in segmentacije upravljalnih omrežij, še posebej v okoljih, kjer ena sama kompromitirana naprava lahko odpre vrata v celotno organizacijsko omrežje.
Vir: https://www.bleepingcomputer.com/news/security/mandiant-reveals-how-cisco-sd-wan-zero-day-attacks-gained-root-access/
Originalna objava: 2026-06-24
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.