Nach den Angaben von Mandiant begann die Untersuchung Anfang 2026. Auslöser waren Beobachtungen zu Angriffen auf SD-WAN-Infrastruktur bei einem Service-Provider. Der Angreifer verschaffte sich im März 2026 zunächst per SSH Zugang zu einer Instanz von SD-WAN Manager und nutzte anschließend CVE-2026-20245, um seine Rechte auf Root-Niveau auszuweiten.

Die Schwachstelle steckt in der CLI von Cisco Catalyst SD-WAN Manager. Laut Beschreibung erlaubt sie einem authentifizierten lokalen Angreifer, über speziell gestaltete Dateien beliebige Befehle mit Root-Privilegien auszuführen. Cisco veröffentlichte die Informationen zu CVE-2026-20245 Anfang Juni; die Patches folgten ungefähr eine Woche später.

Mandiant zufolge waren die SD-WAN-Manager-Systeme desselben Opfers schon zuvor Ziel eines Angriffs geworden. Dabei könnte derselbe oder ein anderer Bedrohungsakteur andere Schwachstellen ausgenutzt haben, nämlich CVE-2026-20127 oder CVE-2026-20182, die zu diesem Zeitpunkt ebenfalls Zero-Days waren.

Beim Angriff im März authentifizierten sich die Täter nach Mandiants Angaben per SSH mit dem Konto „vmanage-admin“ an der SD-WAN-Manager-Instanz. Mit diesem Zugang änderten sie anschließend das Passwort des Standardkontos „admin“.

Mandiant erklärte, der Bedrohungsakteur habe danach seine aktive „vmanage-admin“-Sitzung genutzt, um das Passwort des „admin“-Kontos wieder auf den ursprünglichen Wert zurückzusetzen, bevor die Sitzung beendet wurde. Das sei wahrscheinlich geschehen, um die Wahrscheinlichkeit zu verringern, dass ein Administrator den Angriff im laufenden Betrieb beim Anmelden am Gerät bemerkt.

Weiter erläuterte Mandiant, dass „vmanage-admin“ und „admin“ Standardkonten auf Cisco-Catalyst-SD-WAN-Controllern sind, die unterschiedliche Berechtigungen besitzen, aber beide keinen Root-Shell-Zugang haben. Erst nachdem die Angreifer Administratorrechte auf dem angegriffenen System hatten, setzten sie CVE-2026-20245 zur weiteren Rechteausweitung ein und erreichten vollständigen Root-Zugriff.

Um einer Entdeckung zu entgehen, löschte der Bedrohungsakteur laut Mandiant alle während des Angriffs erzeugten Dateien, stellte veränderte Systemkonfigurationen wieder her und führte ein Skript aus, das verbleibende Spuren beseitigen sollte.

Mandiant ordnet die Kampagne in das Muster „Living off the Edge“ ein. Gemeint sei damit, dass Bedrohungsakteure gezielt Netzwerk-Appliances kompromittieren, um traditionelle Sicherheitsgrenzen zu umgehen. Mit der zunehmenden Verbreitung softwaredefinierter Netzwerke würden die Orchestratoren dieser Umgebungen zu vorrangigen Zielen.

Weitere technische Details und Kompromittierungsindikatoren stellt Mandiant in einem Blogeintrag bereit. Unabhängig davon meldete ein weiteres Cybersicherheitsunternehmen Angriffe, die CVE-2026-20230 ausnutzen sollen, eine Anfang Juni gepatchte Schwachstelle in Cisco Unified CM. Cisco teilte SecurityWeek dazu jedoch mit, man könne eine Ausnutzung unter realen Bedingungen mit Stand vom 24. Juni nicht bestätigen.