Uma falha de alta severidade no Cisco Catalyst SD-WAN foi explorada como zero-day por um invasor ainda não identificado para ampliar privilégios e obter acesso root em um ambiente de provedor de serviços de comunicação. A atividade foi detalhada pela Mandiant, empresa do Google especializada em resposta a incidentes e inteligência de ameaças.

A vulnerabilidade, rastreada como CVE-2026-20245, recebeu pontuação CVSS 7.8 e permite que um atacante local autenticado execute comandos arbitrários com privilégios elevados. A exploração ocorre por meio do envio de um arquivo especialmente criado ao sistema afetado, aproveitando uma validação insuficiente de entradas fornecidas pelo usuário.

Segundo a Cisco, para explorar a falha com sucesso, o invasor precisa ter privilégios de netadmin no sistema vulnerável. Ainda assim, a Mandiant identificou que a brecha foi usada pelo menos dois meses antes de sua divulgação pública, o que caracteriza a exploração como zero-day.

De acordo com os pesquisadores Chester Sng, Pete Boonyakarn e Logeswaran Nadarajan, o invasor adotou técnicas antiforenses durante toda a intrusão para manter a segurança operacional e dificultar a detecção. Entre as ações observadas estavam a exclusão seletiva e a restauração de arquivos de configuração do sistema modificados durante a atividade maliciosa.

A investigação aponta que o ataque teve como alvo um provedor de serviços de comunicação não identificado. O objetivo foi elevar o acesso de uma conta administrativa já comprometida para controle completo em nível root, permitindo ao invasor operar com privilégios máximos no dispositivo.

A Mandiant identificou dois períodos distintos de atividade não autorizada. O primeiro ocorreu entre o fim de 2025 e janeiro de 2026. O segundo foi registrado em março de 2026. Até o momento, não está claro se os dois eventos estão conectados ou se foram conduzidos pelo mesmo agente.

Na primeira onda, a vítima teria sofrido conexões de peering não autorizadas, provavelmente explorando uma de duas falhas de bypass de autenticação em controladores Cisco Catalyst SD-WAN: CVE-2026-20127 ou CVE-2026-20182. As duas vulnerabilidades ainda não haviam sido divulgadas publicamente naquele momento, também sendo tratadas como zero-days durante a atividade.

Em março de 2026, uma segunda onda de conexões de peering maliciosas atingiu um dispositivo executando uma versão de software mais recente, já corrigida contra a CVE-2026-20127. A Cisco confirmou posteriormente que essas conexões não exploraram a CVE-2026-20182, o que abriu a possibilidade de o invasor ter usado certificados roubados em uma violação anterior do mesmo dispositivo para obter acesso inicial.

Após comprometer o ambiente, o invasor alterou credenciais administrativas padrão antes de explorar a CVE-2026-20245 como zero-day por meio do upload de um arquivo CSV malicioso chamado “evil_tenant.csv”. Esse arquivo permitiu a escalada de privilégios e a criação de uma conta não autorizada chamada “troot”, com controle completo de shell em nível root.

A cadeia de ataque descrita pela Mandiant mostra uma operação cuidadosamente conduzida. Primeiro, o invasor obteve ou manteve acesso ao ambiente SD-WAN. Em seguida, modificou credenciais administrativas, extraiu a configuração da malha SD-WAN e explorou a falha de escalada de privilégios. Depois, criou uma conta oculta com acesso root e iniciou uma sequência de limpeza para remover evidências da intrusão.

Austin Larsen, principal analista de ameaças do Google Threat Intelligence Group, afirmou que o invasor chegou a alterar a senha administrativa padrão e, após exfiltrar a configuração da malha SD-WAN, restaurou a senha para o valor original. A medida tinha o objetivo de evitar que um administrador percebesse qualquer alteração ao acessar o sistema.

Os operadores também apagaram arquivos criados por eles, desfizeram alterações de configuração e executaram scripts para verificar se seus indicadores haviam sido removidos. Essa prática reduziu a capacidade dos defensores de reconstruir integralmente a atividade e avaliar o escopo completo do comprometimento.

O caso chama atenção porque dispositivos de borda, como soluções SD-WAN, roteadores, firewalls e controladores de rede, continuam sendo alvos estratégicos para agentes avançados. Esses sistemas geralmente não oferecem o mesmo nível de telemetria disponível em endpoints tradicionais protegidos por EDR, o que dificulta análises forenses profundas.

Para os invasores, um ponto de apoio em equipamentos SD-WAN pode ter alto valor operacional. Como esses dispositivos fazem parte da infraestrutura de conectividade entre filiais, datacenters e ambientes distribuídos, o comprometimento pode permitir visibilidade persistente sobre tráfego interno e sobre a própria malha de rede.

Charles Carmakal, diretor de tecnologia da Mandiant Consulting, afirmou que adversários avançados seguem priorizando dispositivos de rede e outros sistemas que não oferecem suporte nativo a soluções de EDR. A observação reforça uma tendência já vista em campanhas recentes: a exploração de equipamentos de infraestrutura como caminho para persistência, espionagem, movimentação interna e acesso privilegiado.

A Cisco já havia reconhecido a exploração da CVE-2026-20245 e informou que o ataque exige privilégios de netadmin no sistema afetado. Mesmo com essa exigência, o caso demonstra que contas administrativas comprometidas, certificados roubados e falhas em dispositivos críticos podem ser combinados para ampliar o impacto de uma intrusão.

Para organizações que dependem de SD-WAN, o incidente reforça a necessidade de revisar versões de software, aplicar correções de segurança, monitorar conexões de peering não autorizadas, auditar contas administrativas e validar alterações em arquivos sensíveis de configuração. Também é importante avaliar a exposição de certificados, credenciais e backups de configuração, especialmente quando há suspeita de comprometimento anterior.