Exploitation zero-day CVE-2026-20245 dans Cisco Catalyst SD-WAN par un acteur inconnu

🔍 Contexte

Publié le 24 juin 2026 par Mandiant (Google Cloud Blog), ce rapport technique détaille une campagne d’intrusion ciblant l’infrastructure SD-WAN d’un fournisseur de services, identifiée en début d’année 2026. L’analyse couvre une activité s’étendant de fin 2025 à mars 2026.

🎯 Accès initial — Connexions de peering non autorisées

De fin 2025 à janvier 2026, Mandiant a observé de multiples connexions de peering non autorisées vers les équipements Cisco Catalyst SD-WAN Manager de la victime. Ces connexions pourraient être liées à l’exploitation de CVE-2026-20127 ou CVE-2026-20182, deux vulnérabilités critiques permettant à un attaquant distant non authentifié de contourner l’authentification et d’obtenir des privilèges administratifs.

En mars 2026, de nouvelles connexions de peering non autorisées ont été observées sur un équipement non affecté par CVE-2026-20127. Cisco a confirmé que CVE-2026-20182 n’était pas impliqué ; ces connexions pourraient avoir utilisé du matériel de certificat volé lors d’une compromission antérieure du même équipement.

🔑 Manipulation des comptes et exfiltration

En mars 2026, l’acteur a :

• Établi des connexions SSH via le compte vmanage-admin
• Modifié le mot de passe du compte admin par défaut
• Authentifié à l’interface web SD-WAN Manager pour exfiltrer les configurations du fabric SD-WAN
• Restauré le mot de passe original de l’admin pour éviter la détection

💥 Exploitation de CVE-2026-20245 — Escalade de privilèges

L’acteur a exploité CVE-2026-20245, une vulnérabilité dans la CLI de Cisco Catalyst SD-WAN Controllers permettant à un attaquant local authentifié d’exécuter des commandes arbitraires en root via un fichier crafté. L’exploitation s’est faite via l’upload d’un fichier malveillant nommé evil_tenant.csv :

• Sauvegarde du fichier de configuration vbond_vsmart_tenant_list pour restauration ultérieure
• Sauvegarde de /etc/passwd et /etc/shadow
• Création d’un compte troot avec privilèges root complets
• Accès au compte troot via la commande su depuis le compte admin

🧹 Techniques anti-forensiques

L’acteur a systématiquement effacé ses traces :

• Suppression de tous les fichiers créés (dont evil_tenant.csv)
• Restauration des configurations système modifiées
• Exécution d’un script de validation vérifiant l’absence de tout indicateur résiduel dans /home/admin, /etc/passwd, /etc/shadow et vbond_vsmart_tenant_list

📋 CVE référencées

📄 Type d’article

Rapport d’incident technique publié par Mandiant, visant à documenter une campagne d’intrusion active, partager des IOCs et des TTPs pour permettre la détection et la chasse aux menaces dans les environnements SD-WAN Cisco.

🧠 TTPs et IOCs détectés

TTP

• T1190 — Exploit Public-Facing Application (Initial Access)
• T1078.001 — Valid Accounts: Default Accounts (Defense Evasion)
• T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
• T1098 — Account Manipulation (Persistence)
• T1136 — Create Account (Persistence)
• T1005 — Data from Local System (Collection)
• T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
• T1070.003 — Indicator Removal: Clear Command History (Defense Evasion)
• T1059 — Command and Scripting Interpreter (Execution)
• T1021.004 — Remote Services: SSH (Lateral Movement)

IOC

• IPv4 : 126.51.108.152 — AbuseIPDB · VT · ThreatFox
• IPv4 : 76.92.245.217 — AbuseIPDB · VT · ThreatFox
• IPv4 : 207.190.37.94 — AbuseIPDB · VT · ThreatFox
• IPv4 : 23.245.7.178 — AbuseIPDB · VT · ThreatFox
• IPv4 : 153.186.231.233 — AbuseIPDB · VT · ThreatFox
• IPv4 : 167.179.79.189 — AbuseIPDB · VT · ThreatFox
• IPv4 : 45.32.38.160 — AbuseIPDB · VT · ThreatFox
• IPv4 : 209.137.225.101 — AbuseIPDB · VT · ThreatFox
• CVEs : CVE-2026-20245 — NVD · CIRCL
• CVEs : CVE-2026-20127 — NVD · CIRCL
• CVEs : CVE-2026-20182 — NVD · CIRCL
• Fichiers : evil_tenant.csv
• Chemins : /home/admin/evil_tenant.csv
• Chemins : /home/admin/.orig_vbond_vsmart_tenant_list
• Chemins : /home/admin/.orig_passwd
• Chemins : /home/admin/.orig_shadow
• Chemins : /etc/passwd
• Chemins : /etc/shadow
• Chemins : /usr/share/viptela/vbond_vsmart_tenant_list

🟢 Indice de vérification factuelle : 70/100 (haute)

• ✅ cloud.google.com — source reconnue (liste interne) (20pts)
• ✅ 15840 chars — texte complet (fulltext extrait) (15pts)
• ✅ 19 IOCs (IPs/domaines/CVEs) (10pts)
• ⬜ 0/3 IOCs confirmés externellement (0pts)
• ✅ 10 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/3 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/zero-day-exploitation-cisco-catalyst-sd-wan-manager?hl=en