Nach Angaben von Cisco geht CVE-2026-20245 auf eine unzureichende Prüfung benutzergelieferter Eingaben zurück. Betroffen sind Cisco Catalyst SD-WAN Manager (vManage), Controller (vSmart) und Validator (vBond). Sicherheitsupdates stehen bereit; Workarounds gibt es laut Cisco nicht.

Mandiant zufolge diente die Schwachstelle nicht als erster Zugangspunkt, sondern als Werkzeug zur Privilegienausweitung, nachdem die Angreifer bereits Zugriff auf die angegriffenen SD-WAN-Geräte hatten. Die Forscher beobachteten den Beginn der Kompromittierung an unautorisierten SD-WAN-Peering-Verbindungen in der Infrastruktur eines Service-Providers.

Ab März 2026 richtete der Bedrohungsakteur neue manipulierte Peer-Verbindungen ein und authentifizierte sich mit dem Konto „vmanage-admin“ an betroffenen SD-WAN-Manager-Systemen. Mandiant hält es für möglich, dass diese manipulierten Peerings über die bereits offengelegten Cisco-SD-WAN-Authentication-Bypass-Zero-Days CVE-2026-20127 und CVE-2026-20182 eingerichtet wurden. Der genaue Weg sei jedoch unklar.

Nach dem Zugriff änderten die Angreifer das Passwort des Standard-Admin-Kontos, meldeten sich an der Weboberfläche des SD-WAN Manager an und extrahierten Konfigurationsinformationen zu Edge-Geräten, Controllern und SD-WAN-Vorlagen. Anschließend setzten sie das Passwort des Admin-Kontos laut Mandiant wieder auf den ursprünglichen Wert zurück, vermutlich um die Entdeckung zu erschweren.

Für die Ausnutzung von CVE-2026-20245 verwendeten die Angreifer laut Mandiant eine Tenant-Upload-Funktion in der Kommandozeile des SD-WAN-Systems. Dabei luden sie eine schädliche CSV-Datei mit dem Namen „evil_tenant.csv“ hoch. Mandiant, das die Schwachstelle an Cisco gemeldet hatte, beschreibt CVE-2026-20245 als Lücke in der Kommandozeilenschnittstelle der Cisco Catalyst SD-WAN Controllers, über die ein authentifizierter lokaler Angreifer durch eine präparierte Datei beliebige Befehle als Root ausführen kann.

Der Schadcode legte nach Angaben der Forscher zunächst Sicherungskopien von Systemkonfigurationsdateien wie /etc/passwd und /etc/shadow an. Danach wurde ein neues Konto mit dem Namen „troot“ und Root-Rechten erstellt. Im nächsten Schritt nutzten die Angreifer den Linux-Befehl „su“, um vom kompromittierten Administratorkonto auf dieses neue Root-Konto zu wechseln und damit die vollständige Kontrolle über das Gerät zu erhalten.

Mandiant zufolge setzten die Angreifer stark auf Anti-Forensik. Dazu gehörte, dass sie Konfigurationsdateien vor Änderungen sicherten und nach der Ausnutzung wiederherstellten. Außerdem löschten sie die schädliche CSV-Datei, entfernten während des Angriffs erzeugte temporäre Dateien und beseitigten Spuren des manipulierten Root-Kontos. Die Forscher beobachteten zudem die Ausführung eines Prüfskripts, das bestätigen sollte, dass alle Hinweise auf die Kompromittierung vom Gerät entfernt worden waren.

Mandiant berichtet außerdem, dass ein Teil der im März 2026 beobachteten manipulierten Peering-Aktivitäten auf Systemen stattfand, die gegen keine der zuvor offengelegten Authentication-Bypass-Schwachstellen anfällig waren. Cisco teilte den Forschern mit, dass der Einbruch nicht CVE-2026-20182 betraf. Möglich sei stattdessen, dass die Angreifer Zertifikate nutzten, die bei einer früheren Kompromittierung gestohlen worden waren, um erneut Zugang zu den Geräten zu erhalten.

Mandiant hat Indikatoren einer Kompromittierung, IP-Adressen der Angreifer und Hinweise veröffentlicht, mit denen Organisationen prüfen können, ob sie betroffen waren. Die Forscher raten dazu, Diagnosedaten von SD-WAN-Geräten zu sammeln, nach Anzeichen unautorisierter Peering-Verbindungen zu suchen und auf die neuesten Softwareversionen zu aktualisieren, falls das noch nicht geschehen ist.