Lỗ hổng Zero-day trên Cisco Catalyst SD-WAN bị khai thác để chiếm quyền Root

Một lỗ hổng bảo mật nghiêm trọng trên Cisco Catalyst SD-WAN, được định danh là CVE-2026-20245 (điểm CVSS 7.8), đã bị kẻ tấn công khai thác dưới dạng zero-day ít nhất hai tháng trước khi thông tin được công bố rộng rãi. Phát hiện này được đưa ra bởi nhóm nghiên cứu từ Mandiant, thuộc sở hữu của Google.

Theo các chuyên gia, lỗ hổng này cho phép một kẻ tấn công đã xác thực cục bộ có thể thực thi các lệnh tùy ý với đặc quyền cao hơn bằng cách gửi một tệp tin được thiết kế đặc biệt. Điều này xuất phát từ việc hệ thống kiểm soát đầu vào của người dùng không đủ chặt chẽ. Cisco xác nhận rằng để thực hiện thành công cuộc tấn công, kẻ xấu cần có đặc quyền netadmin trên hệ thống bị ảnh hưởng.

Đáng chú ý, nhóm tấn công đã thể hiện trình độ kỹ thuật cao khi liên tục sử dụng các kỹ thuật anti-forensic để xóa dấu vết, bao gồm việc khôi phục các tệp cấu hình hệ thống sau khi chỉnh sửa để tránh bị phát hiện. Cuộc tấn công nhắm vào một nhà cung cấp dịch vụ viễn thông, nhằm mục đích leo thang từ tài khoản quản trị bị xâm nhập lên quyền root.

Các nhà nghiên cứu đã ghi nhận hai đợt tấn công riêng biệt: đợt đầu diễn ra từ cuối năm 2025 đến tháng 1 năm 2026, và đợt thứ hai vào tháng 3 năm 2026. Trong đợt tấn công thứ hai, kẻ xấu đã sử dụng một tệp CSV độc hại (tên là ‘evil_tenant.csv’) để khai thác lỗ hổng, tạo ra một tài khoản người dùng ẩn có tên ‘troot’ với quyền kiểm soát shell cấp root.

Để duy trì sự hiện diện bền bỉ và tránh bị nghi ngờ, sau khi thay đổi mật khẩu quản trị và trích xuất cấu hình SD-WAN, kẻ tấn công đã khôi phục lại mật khẩu ban đầu. Google nhấn mạnh rằng sự việc này phản ánh xu hướng đáng lo ngại khi các tác nhân đe dọa ngày càng tập trung vào các thiết bị biên như SD-WAN. Những thiết bị này thường thiếu khả năng giám sát chuyên sâu (telemetry) và không hỗ trợ các giải pháp EDR, khiến chúng trở thành mục tiêu lý tưởng để kẻ tấn công ẩn náu và duy trì quyền kiểm soát mạng nội bộ.

Nguồn tham khảo: The Hacker News