(Auszug aus der Pressemitteilung)
Mandiant hat heute neue Forschungsergebnisse veröffentlicht, die detailliert beschreiben, wie ein Bedrohungsakteur eine inzwischen gepatchte Zero-Day-Sicherheitslücke in Cisco Catalyst SD-WAN (CVE-2026-20245) bei einem Kommunikationsdienstleister ausgenutzt hat, um die Rechte eines kompromittierten Administratorkontos auf vollständigen Root-Zugriff auszuweiten.
Da diese Geräte den Datenverkehr innerhalb des Netzwerks steuern, könnte ein Angreifer mit Root-Rechten potenziell umfassende und unbemerkte Einblicke in den internen Datenverkehr des gesamten Unternehmensnetzwerks erhalten. Wichtig ist jedoch, dass Mandiant nicht behauptet, dass dies tatsächlich geschehen ist. Aufgrund der verfügbaren Daten lässt sich der vollständige Umfang der Aktivitäten nach der Kompromittierung nicht beurteilen.
Bekannte Zeitleiste und zwei voneinander unterscheidbare Aktivitätsphasen: Während der Untersuchung beobachtete Mandiant zwei getrennte Zeiträume unbefugter Aktivitäten. Ob diese miteinander in Zusammenhang stehen, ist derzeit unklar.
Ende 2025 bis Januar 2026: Das betroffene Unternehmen stellte unbefugte Peering-Verbindungen fest, bei denen möglicherweise eine von zwei Authentifizierungsumgehungen (CVE-2026-20127 oder CVE-2026-20182) ausgenutzt wurde. Zum damaligen Zeitpunkt waren beide Schwachstellen noch nicht öffentlich bekannt (Zero-Days), und es standen keine Patches zur Verfügung. Mandiant kann nicht bestätigen, ob derselbe Bedrohungsakteur auch für die späteren Aktivitäten verantwortlich war.
März 2026: Eine zweite Welle bösartiger Peering-Verbindungen – die mit den zuvor beschriebenen Vorfällen zusammenhängen könnte, aber nicht zwingend muss – richtete sich gegen ein Gerät mit einer neueren Softwareversion, die gegen CVE-2026-20127 nicht anfällig war. Cisco bestätigte außerdem, dass auch CVE-2026-20182 bei diesen Verbindungen nicht ausgenutzt wurde. Das deutet darauf hin, dass die Angreifer möglicherweise gestohlene Zertifikate nutzten, um sich zunächst Zugang zu verschaffen.
Anschließend änderten die Angreifer die Standard-Anmeldedaten des Administratorkontos und nutzten CVE-2026-20245 als Zero-Day über den Upload einer manipulierten CSV-Datei (evil_tenant.csv) aus. Dadurch konnten sie ihre Berechtigungen auf Root-Ebene erweitern und ein bösartiges Benutzerkonto mit dem Namen „troot“ anlegen, das vollständigen Root-Shell-Zugriff ermöglichte.
Die Angreifer verwischten ihre Spuren konsequent, indem sie Dateien löschten, Konfigurationsänderungen rückgängig machten und Skripte ausführten, um sicherzustellen, dass keine Beweise zurückblieben. In Kombination mit den naturgemäß eingeschränkten Telemetriedaten dieser Geräte erschwerten diese Anti-Forensik-Maßnahmen die Bewertung des tatsächlichen Ausmaßes der Kompromittierung erheblich.
Neueste Kommentare
5. Juni 2026
31. Mai 2026
28. Mai 2026
16. Mai 2026
12. Mai 2026
29. April 2026