#zero-day · 8sync News

Attackers Hit Cisco SD-WAN Flaw 2 Months Before Disclosure

Các hacker đã khai thác lỗ hổng leo thang đặc quyền nghiêm trọng CVE-2026-20245 trong Cisco Catalyst SD-WAN từ tháng 3/2026, trước khi Cisco công bố vào tháng 6. Lỗ hổng này cho phép kẻ tấn công thực thi lệnh root thông qua CLI do thiếu kiểm tra đầu vào, kết hợp với hai lỗ hổng bypass xác thực (CVE-2026-20182, CVE-2026-20127) để xâm nhập.

Lập trình viên nên đọc bài này để hiểu cách các tấn công phức tạp liên kết các lỗ hổng cũ mới với hệ thống SD-WAN, giúp phát hiện và phòng ngừa các cuộc tấn công từ các kẻ tấn công chuyên nghiệp trong tương lai.

Mandiant reveals how Cisco SD-WAN zero-day attacks gained root access

Mandiant tiết lộ cách tin tặc khai thác lỗ hổng CVE-2026-20245 (command injection) trong Cisco Catalyst SD-WAN Manager, Controller và Validator để leo thang đặc quyền lên root. Chúng tạo tài khoản 'troot' thông qua file CSV độc hại tải lên tính năng tenant-upload CLI, đồng thời xóa dấu vết bằng kỹ thuật chống pháp y. Mandiant khuyến nghị thu thập dữ liệu chẩn đoán, kiểm tra kết nối peering trái phép và nâng cấp lên phiên bản vá lỗi.

Lập trình viên nên đọc bài này để hiểu cách hacker khai thác lỗ hổng trên hệ thống SD-WAN của Cisco, từ đó tìm hiểu về kỹ thuật bảo mật mới, cách xây dựng hệ thống an toàn hơn và ứng dụng kiến thức về bảo vệ ứng dụng web và cơ sở dữ liệu trong các dự án của mình.

Zero-Day Exploitation of Vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager

Mandiant researchers detail a 2026 intrusion campaign targeting SD-WAN infrastructure at a service provider. The threat actor used unauthorized rogue peering connections for initial access, then exploited a zero-day vulnerability (CVE-2026-20245) in Cisco Catalyst SD-WAN Manager to escalate privileges from an admin account to root via a malicious CSV file upload. The exploit appended a backdoor root user ('troot') to /etc/passwd and /etc/shadow. The attacker also employed sophisticated anti-forensic techniques, including deleting malicious files, restoring original configurations, and running a validation script to confirm cleanup. Remediation guidance includes patching to specific fixed versions, IOC sweeps, and following Cisco's SD-WAN hardening guide. Detection rules and IOCs are provided for threat hunters.