DeafNews
// 4 ZERO-DAY · 4 CVE · 3 EXPLOIT NELLE ULTIME 24H
News ZERO-DAY

Cisco SD-WAN: zero-day sfruttata per accesso root a un provider telecom

Published: Updated: By DeafSuite team 8 min read News
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Attori malevoli hanno sfruttato CVE-2026-20245 in Cisco Catalyst SD-WAN Manager per ottenere controllo root su un communications service provider. Mandiant ha

Attori malevoli hanno sfruttato la zero-day CVE-2026-20245 in Cisco Catalyst SD-WAN Manager per ottenere accesso root-level a un communications service provider, attività rilevata da Mandiant a partire da marzo 2026. L'incidente conferma un pattern documentato da Mandiant: gli orchestrator SD-WAN, per loro natura sistemi con telemetria limitata, offrono agli attaccanti una piattaforma per accesso persistente su reti distribuite. Per le organizzazioni con deployment Cisco, la CISA ha fissato al 23 giugno 2026 la due date per l'applicazione delle mitigazioni.

Punti chiave
  • La zero-day CVE-2026-20245 in Cisco Catalyst SD-WAN Manager è stata sfruttata per escalation a root su un communications service provider, con osservazione Mandiant da marzo 2026.
  • L'attacco ha seguito una catena multi-stadio: bypass authentication remoto non autenticato (CVE-2026-20182, CVSS 10.0) o peering non autorizzato (CVE-2026-20127) per ottenere privilegi netadmin, seguito da command injection via upload file craftato.
  • Mandiant non ha potuto determinare l'entità completa del compromesso a causa delle tecniche anti-forense dell'attaccante, che ha creato l'account rogue 'troot' con controllo root-level completo.
  • Cisco ha rilasciato il fix per CVE-2026-20245 il 14 maggio 2026; la CISA ha incluso la vulnerabilità nel catalogo KEV con azione richiesta entro il 23 giugno 2026.

La catena di exploitation: da bypass remoto a root sul Manager

L'attacco documentato da Mandiant si articola in due ondate distinte. Nella prima, osservata tra fine 2025 e inizio 2026, gli attori malevoli hanno sfruttato una delle due vulnerabilità allora non patchate: CVE-2026-20127 per peering non autorizzato o CVE-2026-20182 per bypass authentication remoto non autenticato. Secondo il record ufficiale CVE.org, CVE-2026-20182 ha punteggio CVSS 10.0 (CRITICAL) con vettore CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.

Nella seconda ondata, rilevata a marzo 2026, l'attaccante ha sfruttato CVE-2026-20245 in Cisco Catalyst SD-WAN Manager. Secondo il record NVD, la vulnerabilità richiede privilegi netadmin sul sistema target, ottenibili tramite credenziali valide o exploitation delle vulnerabilità correlate. Il meccanismo tecnico, dettagliato dall'analisi di Rescana, è una command injection e privilege escalation dovuta a improper input validation nella funzionalità di upload file CLI.

Cisco ha rilasciato patch per la vulnerabilità; il fix è documentato in advisory del 14 maggio 2026, come confermato dal record NVD. Il vendor ha inoltre osservato "limited cases" in cui l'exploitation di CVE-2026-20245 ha causato push di configuration change ai dispositivi edge.

Il paradosso della centralizzazione: control plane come single point of failure

L'architettura SD-WAN centralizzata amplifica l'impatto in modo strutturale. Il controllo del Manager permette di propagare configurazioni a tutti i dispositivi edge della rete, trasformando una compromissione puntuale in accesso distribuito.

Mandiant ha evidenziato questo pattern nel suo report, citato da CyberScoop: "As organizations increasingly adopt software-defined networking, the orchestrators managing these environments become primary targets. These devices offer a black box environment for threat actors: they often lack the telemetry required for deep forensic analysis, and their role as a central control plane provides a stealthy platform for persistent, wide-scale access to internal enterprise traffic".

Il report di Mandiant, sempre via CyberScoop, definisce questo approccio "living off the edge": "This campaign underscores the living off the edge paradigm, where threat actors prioritize the compromise of network appliances to bypass traditional security perimeters".

Anti-forense e limiti della ricostruzione

Un dato distintivo dell'incidente è l'impossibilità di determinare l'entità completa del compromesso. Mandiant ha dichiarato esplicitamente di non aver potuto stabilire quanto lontano l'attaccante sia riuscito a operare, a causa delle tecniche anti-forense impiegate. L'attaccante ha creato l'account rogue 'troot' con controllo root-level completo, ma la visibilità effettiva sulla rete interna, eventuali esfiltrazioni o modifiche persistenti ai dispositivi edge non sono documentabili con la precisione che le indagini forensi standard richiederebbero.

"Exploiting zero day vulnerabilities in edge devices and the extensive anti-forensic activities are consistent with previously documented cyber espionage threat actor behavior"
Kelli VanderLee, senior manager for Google Threat Intelligence Group

La dichiarazione di VanderLee, riportata da CyberScoop, qualifica il comportamento come coerente con cyber spionage. Non costituisce attribuzione a un gruppo threat actor specifico. L'identità degli operatori rimane non determinata nel dossier Mandiant.

Cosa non sappiamo con certezza

Il dossier disponibile presenta limiti significativi che condizionano ogni ricostruzione. Mandiant non ha potuto determinare l'entità completa del compromesso a causa delle tecniche anti-forense. Il nome del communications service provider non è stato divulgato. Non è specificato se l'ondata iniziale abbia sfruttato CVE-2026-20127 o CVE-2026-20182: la fonte utilizza l'operatore "or", senza discriminare quale delle due vulnerabilità sia stata effettivamente impiegata. Su CVE-2026-20127, il dossier non specifica se Cisco abbia rilasciato fix concomitante; la fonte primaria non fornisce dettagli operativi aggiuntivi su questa componente. L'identità dell'attaccante o gruppo threat actor specifico non è attribuita. Non è noto se l'attaccante abbia ottenuto visibilità completa sulla rete interna o esfiltrato dati.

Cosa fare adesso

Per le organizzazioni con deployment Cisco SD-WAN, tre azioni hanno priorità immediata in base al dossier disponibile:

1. Applicare il fix per CVE-2026-20245. Cisco ha rilasciato patch documentate in advisory del 14 maggio 2026. La CISA ha incluso la vulnerabilità nel catalogo KEV con due date 06/09/2026 e azione richiesta entro 06/23/2026.

2. Verificare stato patch per CVE-2026-20182 (CVSS 10.0). Questa vulnerabilità di bypass authentication remoto è stata utilizzata nella catena di attacco per ottenere privilegi netadmin iniziali. Il record CVE.org conferma impatto amministrativo su SD-WAN Controller, Manager e Validator.

3. Monitorare per aggiornamenti su CVE-2026-20127. Il dossier non specifica se Cisco abbia rilasciato fix concomitante per questa componente di peering non autorizzato; la fonte primaria non fornisce dettagli operativi aggiuntivi.

Le organizzazioni dovrebbero inoltre verificare la presenza di account amministrativi non autorizzati, con particolare attenzione a nomi simili a 'troot', e controllare i log per attività di upload file anomale nella CLI del Manager.

Contesto: sette zero-day nel 2026

L'incidente si inserisce in un trend più ampio. Cisco ha registrato sette zero-day attivamente sfruttate nel 2026 nel proprio software SD-WAN, come riportato da CyberScoop. Questa concentrazione evidenzia come il piano di controllo centralizzato sia diventato target prioritario per attori che operano con capacità di cyber spionage.

La transizione verso networking software-defined ha spostato il valore d'attacco dal perimetro fisico al piano di controllo centralizzato, dove una singola compromissione si traduce in visibilità su molteplici sedi distribuite. Per i communications service provider con infrastrutture geograficamente frammentate, il rischio non è di tipo incrementale ma strutturale.

Chiusura

L'incidente documentato da Mandiant non è un caso isolato tecnico. È la conferma che gli orchestrator SD-WAN, per la loro posizione architetturale e per i limiti di telemetria, offrono agli attaccanti una piattaforma per accesso persistente su scala. La catena CVE-2026-20182/CVE-2026-20127 → CVE-2026-20245 mostra come vulnerabilità di accesso iniziale e escalation locale si combinino in attacchi di impatto sistemico. Per le organizzazioni con deployment Cisco, la due date CISA del 23 giugno 2026 è il termine operativo immediato; la sfida più ampia è chiudere il gap di visibilità forense che ha reso questo attacco, per Mandiant, solo parzialmente ricostruibile.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Altri contenuti collegati

  • Operazione Endgame smantella 326 server di Amadey e StealC, il primo RICO
  • ClawHub: 23 plugin AI con scope ufficiali ma account non autorizzati

Fonti

Fonti e riferimenti
  1. cyberscoop.com
  2. unit42.paloaltonetworks.com
  3. securityweek.com
  4. rescana.com
  5. thehackernews.com
  6. recordedfuture.com
  7. cve.org
  8. nvd.nist.gov