详细内容或原文请订阅后点击阅览
被黑、被盗、被清理。黑客在思科网络上表现出了出色的安静操作水平
一切看起来都很正常,直到系统中出现了一个额外的所有者。
来源:安全实验室新闻频道被黑、被盗、被清理。黑客在思科网络上表现出了出色的安静操作水平
一切看起来都很正常,直到系统中出现了一个额外的所有者。
在网络基础设施中,最危险的不是攻击者第一次进入,而是临时访问变成对设备的完全控制的那一刻。 Mandiant 专家披露了针对 Cisco Catalyst SD-WAN 的攻击细节,其中漏洞 CVE-2026-20245(CVSS 3.1 等级为 7.8,AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)帮助创建了具有 root 权限的隐藏帐户。
该问题影响 Cisco Catalyst SD-WAN 管理器、控制器和验证器。该漏洞允许已经授权的攻击者通过专门准备的文件以最大权限执行命令。思科此前报道称,该漏洞被用于有限数量的攻击,但当时并未透露具体机制。
据 Mandiant 称,攻击始于同一服务提供商基础设施中 SD-WAN 节点之间的未经授权的连接。自 2026 年 3 月以来,攻击者一直在创建虚假对等连接并通过 vmanage-admin 帐户登录 SD-WAN Manager 设备。首次访问的确切方法尚未确定。
Mandiant 暗示与之前披露的身份验证绕过漏洞有关,但思科表示 CVE-2026-20182 并未参与该事件,攻击者可能使用了在之前的黑客攻击中窃取的证书。
登录后,攻击者更改了标准管理帐户的密码,登录到 SD-WAN Manager Web 界面并下载了边缘设备、控制器和 SD-WAN 模板的配置。然后,密码将恢复为之前的值,以使痕迹不那么明显。
Mandiant 还描述了隐藏干扰的尝试。攻击者恢复了修改后的文件,删除了恶意 CSV、临时文件和 root 帐户的痕迹。还在设备上运行脚本来检查是否仍然存在妥协迹象。