中文 EN
登录 注册
Google 2026-06-24
SecurityIncident 影响: Major 置信: 90%

Mandiant曝光Cisco SD-WAN Manager零日漏洞,控制平面成高级威胁突破口

内容摘要

Mandiant发现攻击者利用Cisco Catalyst SD-WAN Manager的CVE-2026-20245零日漏洞,通过恶意CSV上传实现权限提升至root。攻击链包括未授权对等连接、默认账户密码篡改及反取证清理。事件凸显SD-WAN集中控制平面作为高级持续性威胁的新攻击面。

核心要点

Mandiant披露的攻击链始于2025年底至2026年初,攻击者通过未授权对等连接(可能利用CVE-2026-20127/20182或窃取证书)获得初始访问。随后,攻击者通过SSH以vmanage-admin账户登录,修改默认admin密码,并利用CVE-2026-20245执行request tenant-upload tenant-list /home/admin/evil_tenant.csv vpn 0命令上传恶意CSV文件。该漏洞源于文件上传功能缺乏对恶意数据的过滤,允许攻击者通过CSV载荷向/etc/passwd/etc/shadow追加条目,创建root权限用户troot
攻击者还执行了复杂的反取证操作:删除所有创建的文件(如evil_tenant.csv、备份文件),恢复被修改的系统配置,并运行验证脚本确认痕迹清除。Mandiant提供了IOC列表,包括攻击者IP地址及CSV文件残留的SHA256哈希。修复版本包括20.9.9.2、20.12.7.2等。Cisco同时披露了另外两个影响对等认证的严重漏洞(CVE-2026-20127、CVE-2026-20182)。

重要性说明

此事件暴露了Cisco SD-WAN Manager在控制平面安全上的根本缺陷:文件上传功能未对CSV内容做任何过滤,默认账户(vmanage-admin、admin)的密码可被轻易篡改且缺乏多因素认证。攻击者利用living off the edge策略,将SD-WAN控制器作为黑盒——其日志和取证能力薄弱,反取证操作几乎无法被检测。
这实质上是Cisco在SD-WAN架构上的设计短板:集中式控制平面成为单点故障,一旦被攻破,整个SD-WAN fabric的配置、隧道和路由均可被窃取或篡改。竞争对手(如VMware SD-WAN、Fortinet Secure SD-WAN)可借此攻击Cisco的可靠性,强调分布式控制平面或更强的输入验证。
对企业的隐性锁定在于:依赖Cisco专有控制平面意味着安全风险完全由厂商的代码质量决定。建议企业评估SD-WAN架构的弹性,考虑分布式控制平面零信任网络访问(ZTNA)以减少单点风险。

PRO 决策建议

【厂商】竞争对手(如VMwareFortinetArista)应立即发布安全白皮书,对比自身SD-WAN产品的控制平面安全设计(如分布式架构、文件上传沙箱、默认多因素认证),并针对Cisco客户提供迁移评估工具,强调集中式控制平面的单点故障风险。
【企业】CIO和架构师需立即将Cisco Catalyst SD-WAN Manager升级至修复版本,并实施Cisco加固指南。但更关键的是进行零信任技术审计:检查控制平面日志是否完整、默认账户是否禁用、文件上传功能是否可隔离。建议评估多供应商SD-WAN策略,避免单一厂商锁定;对关键分支部署分布式控制平面SD-WAN叠加安全网关以减少攻击面。
【投资者】关注Cisco SD-WAN市场份额可能因安全事件下滑,同时留意VMware SD-WANFortinetPalo Alto Networks等提供更安全SD-WAN替代方案的厂商。短期看Cisco的修复成本,长期看SD-WAN安全将成为选型核心指标,利好安全原生架构厂商。

来源: blog
查看原文 →

觉得这篇分析有用?

每周收到3-5条AI基础设施关键信号 →

💬 评论 (0)