Een onbekende dreigingsactor heeft een recent bekendgemaakte kwetsbaarheid met hoge ernst in Cisco Catalyst SD-WAN al minstens twee maanden vóór de publieke bekendmaking als zero-day misbruikt. Dit blijkt uit onderzoek van Mandiant, onderdeel van Google. De kwetsbaarheid, geregistreerd als CVE-2026-20245 met een CVSS-score van 7.8, stelt een geauthenticeerde lokale aanvaller in staat om willekeurige commando's met verhoogde rechten uit te voeren door een speciaal vervaardigd bestand te uploaden. Dit is mogelijk doordat het apparaat onvoldoende controleert op door gebruikers aangeleverde input.

Begin juni bevestigde Cisco dat er sprake was van misbruik van deze kwetsbaarheid. Voor een succesvolle aanval moet een kwaadwillende gebruiker wel beschikken over netadmin-rechten op het getroffen systeem. Tijdens de aanval gebruikte de aanvaller anti-forensische technieken om detectie te voorkomen, waaronder het selectief verwijderen en terugzetten van systeemconfiguratiebestanden die tijdens de activiteiten waren aangepast, aldus onderzoekers Chester Sng, Pete Boonyakarn en Logeswaran Nadarajan van Mandiant in hun rapport.

De aanval richtte zich op een niet nader genoemde communicatieprovider, waarbij een gecompromitteerd beheerdersaccount werd opgewaardeerd tot volledige root-toegang. Er zijn twee afzonderlijke periodes van ongeautoriseerde activiteiten vastgesteld: een tussen eind 2025 en januari 2026 en een tweede in maart 2026. Het is nog onduidelijk of deze incidenten door dezelfde aanvaller zijn uitgevoerd. Tijdens de eerste golf werden ongeautoriseerde peering-verbindingen vastgesteld, vermoedelijk door het misbruiken van een van twee toen onbekende authenticatie-bypass kwetsbaarheden in Cisco Catalyst SD-WAN controllers (CVE-2026-20127 of CVE-2026-20182), die destijds nog zero-days waren.

In maart 2026 vond een tweede golf van kwaadaardige peering-verbindingen plaats, gericht op een apparaat met een nieuwere softwareversie waarin CVE-2026-20127 was gepatcht. Cisco bevestigde dat deze verbindingen niet gebruikmaakten van CVE-2026-20182, wat erop wijst dat de aanvaller mogelijk gestolen certificaten gebruikte van een eerdere inbraak om toegang te verkrijgen. Vervolgens wijzigde de aanvaller de standaard beheerdersreferenties en maakte misbruik van CVE-2026-20245 via een kwaadaardige CSV-bestandupload (evil_tenant.csv). Hiermee kon de aanvaller privileges escaleren en een verborgen gebruikersaccount ('troot') aanmaken met volledige root-shellcontrole.

De aanvallers verwijderden consequent sporen door bestanden die zij hadden aangemaakt te verwijderen, configuratiewijzigingen terug te draaien en scripts uit te voeren om te bevestigen dat er geen indicatoren van compromittering achterbleven. Na het wijzigen van het standaardwachtwoord en het exfiltreren van de SD-WAN configuratie, werd het wachtwoord weer teruggezet zodat een beheerder niets zou merken. Volgens Austin Larsen van Google Threat Intelligence Group werd de root-toegang verkregen via de kwaadaardige CSV-upload, waarna een verborgen account werd aangemaakt en alle sporen werden gewist.

Google benadrukt dat deze aanval de voortdurende trend laat zien waarbij geavanceerde aanvallers zero-days in randapparatuur zoals SD-WAN gebruiken. Deze apparaten bieden vaak onvoldoende telemetrie voor diepgaande forensische analyse, terwijl een toegangspunt in deze systemen langdurige zichtbaarheid in het interne netwerkverkeer kan verschaffen.