Una nueva investigación publicada por Mandiant, una empresa de Google, muestra que un atacante desconocido estaba explotando una falla de seguridad de alta gravedad recientemente revelada que afectaba a Cisco Catalyst SD-WAN como un día cero al menos dos meses antes de su lanzamiento.
La vulnerabilidad, rastreada como CVE-2026-20245 (puntuación CVSS: 7,8), permite a un atacante local autenticado aprovechar la validación insuficiente de la entrada del usuario por parte del dispositivo para ejecutar comandos arbitrarios con privilegios elevados proporcionando un archivo manipulado a un sistema afectado.
A principios de este mes, Cisco reconoció que estaba al tanto de la explotación de esta vulnerabilidad y agregó que un atacante malicioso necesitaría tener privilegios de administrador de red en el sistema afectado para que el ataque tuviera éxito.
Los investigadores de Mandiant Chester Sng, Pete Boonyakarn y Logeswaran Nadarajan dijeron: «A lo largo de la infracción, para mantener la seguridad operativa y evadir la detección, los atacantes emplearon consistentemente técnicas antiforenses, eliminando y restaurando selectivamente archivos de configuración del sistema que fueron modificados durante la campaña».
La división de inteligencia de amenazas y respuesta a incidentes del gigante tecnológico agregó que el incidente tuvo como objetivo un proveedor de servicios de comunicaciones no especificado y elevó una cuenta de administrador comprometida a acceso completo a nivel de raíz.
Se detectaron dos periodos diferentes de actividad fraudulenta. Uno ocurrió entre finales de 2025 y enero de 2026, y el otro ocurrió en marzo de 2026. En este momento, no está claro si estos dos eventos están relacionados y son obra del mismo atacante.
En la primera ola, las víctimas supuestamente experimentaron conexiones de intercambio de tráfico fraudulentas que pueden haber aprovechado una de las dos fallas de omisión de autenticación (CVE-2026-20127 o CVE-2026-20182) en los controladores Cisco Catalyst SD-WAN. Vale la pena señalar que en este punto, ambas vulnerabilidades de seguridad eran de día cero no reveladas.
Luego, en marzo de 2026, una segunda ola de conexiones de peering fraudulentas se dirigió a dispositivos que ejecutaban nuevas versiones de software parcheadas para CVE-2026-20127. Desde entonces, Cisco ha confirmado que estas conexiones no aprovechan CVE-2026-20182, lo que plantea la posibilidad de que el atacante haya aprovechado certificados robados de un compromiso anterior del mismo dispositivo para obtener acceso inicial, ya sea que estuvieran o no detrás de la conexión de intercambio de tráfico fraudulenta anterior.
«Luego, los atacantes modificaron las credenciales de administrador predeterminadas antes de explotar CVE-2026-20245 como día cero mediante la carga de un archivo CSV malicioso (evil_tenant.csv)», dijo Mandiant. «Este exploit les permitió escalar privilegios y crear una cuenta de usuario fraudulenta (llamada ‘troot’) con control total de shell a nivel de raíz».
También encontramos que los atacantes cubren constantemente sus huellas eliminando archivos que crean, revirtiendo cambios de configuración y ejecutando scripts que no dejan evidencia, lo que limita la capacidad de los defensores para evaluar el alcance total de un compromiso.
«Después de cambiar la contraseña de administrador predeterminada y robar la configuración de la estructura SD-WAN, el atacante volvió a cambiar la contraseña a su valor original para que los administradores conectados no notaran nada inusual», dijo Austin Larsen, analista principal de amenazas de Google Threat Intelligence Group (GTIG).
«Escalaron a root a través de una carga CSV maliciosa, crearon una cuenta «troot» oculta en /etc/passwd y /etc/shadow, luego eliminaron todos los archivos que tocaron y ejecutaron un script de verificación para confirmar que los indicadores habían desaparecido».
Google dijo que la última actividad subraya la «tendencia actual» de explotar ataques de día cero en dispositivos periféricos como SD-WAN. Los dispositivos perimetrales carecen de la telemetría necesaria para un análisis forense detallado, y un punto de apoyo en estos sistemas podría proporcionar una visibilidad persistente del tráfico interno en todo el tejido.
«Los atacantes sofisticados continúan atacando y explotando principalmente dispositivos de red y otros sistemas que no soportan de forma nativa soluciones EDR», dijo Charles Carmakal, director de tecnología de Mandiant Consulting, en una publicación de LinkedIn.
Source link
