Entraron, robaron y borraron sus rastros: hackers exhiben un nivel excepcional de sigilo en redes de Cisco
Todo parecía en orden hasta que dentro del sistema apareció un dueño adicional.
En la infraestructura de red, lo más peligroso no es la primera intrusión de un atacante, sino el momento en que el acceso temporal se convierte en control total del dispositivo. Los especialistas de Mandiant revelaron los detalles de los ataques contra Cisco Catalyst SD-WAN, donde la vulnerabilidad CVE-2026-20245 (7.8 en la escala CVSS 3.1, AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) ayudaba a crear cuentas ocultas con privilegios root.
El problema afecta a Cisco Catalyst SD-WAN Manager, Controller y Validator. El fallo permitía a un atacante ya autenticado ejecutar comandos con privilegios máximos mediante un archivo especialmente preparado. Cisco informó anteriormente que la vulnerabilidad se había utilizado en un número limitado de ataques, pero entonces no reveló el mecanismo.
Según Mandiant, los ataques comenzaron con conexiones no autorizadas entre nodos SD-WAN en la infraestructura de un proveedor de servicios. Desde marzo de 2026, los atacantes crearon conexiones peer falsificadas e iniciaron sesión en los dispositivos SD-WAN Manager mediante la cuenta vmanage-admin. No se ha establecido el método exacto del primer acceso.
Mandiant admite una relación con vulnerabilidades de omisión de autenticación divulgadas anteriormente; sin embargo, Cisco declaró que CVE-2026-20182 no participó en el incidente y que los atacantes podrían haber utilizado certificados robados en una intrusión previa.
Después de acceder, los atacantes cambiaban la contraseña de la cuenta administrativa estándar, entraban en la interfaz web de SD-WAN Manager y descargaban las configuraciones de los dispositivos perimetrales, de los controladores y de las plantillas de SD-WAN. Luego restauraban la contraseña a su valor anterior para que las huellas parecieran menos evidentes.
CVE-2026-20245 se explotaba a través de la función de carga de datos del inquilino en la línea de comandos de SD-WAN. Para el ataque se cargaba un archivo CSV malicioso, evil_tenant.csv. El guion primero creaba copias de seguridad de los archivos del sistema /etc/passwd y /etc/shadow, luego añadía la cuenta troot con privilegios root. Después, los atacantes cambiaban a la nueva cuenta con el comando Linux su y obtenían el control total del dispositivo.
Mandiant también describió intentos de ocultar la intervención. Los atacantes restauraban los archivos modificados, eliminaban el CSV malicioso, los archivos temporales y las huellas de la cuenta root. En los dispositivos también ejecutaban un script que verificaba si quedaban signos de compromiso.
Cisco ya publicó actualizaciones para las versiones vulnerables y señaló que no hay medidas de mitigación. Se recomienda a las organizaciones actualizar SD-WAN a las versiones corregidas, recopilar datos de diagnóstico de los dispositivos, comprobar signos de conexiones peer no autorizadas y comparar la infraestructura con los indicadores de compromiso publicados por Mandiant.