Vulnerabilitatea Cisco SD-WAN: Cum au preluat atacatorii controlul total

Rețelele SD-WAN au devenit coloana vertebrală a multor firme care își desfășoară activitatea în locații multiple. Totuși, la Activ.NET, observăm adesea în discuțiile cu managerii din Arad că securitatea acestor echipamente complexe este tratată superficial, bazându-se doar pe faptul că sunt "enterprise grade". Recent, o vulnerabilitate critică descoperită în suita Cisco Catalyst SD-WAN a demonstrat cât de fragilă poate fi o infrastructură dacă nu este gestionată proactiv. Din experiența noastră, nu este vorba doar despre software-ul instalat, ci despre modul în care sunt configurate permisiunile și cum sunt monitorizate conexiunile externe. Securitatea nu se rezumă la instalare, ci la mentenanța riguroasă a fiecărui nod din rețea.

#Ce s-a intamplat

Atacatorii au exploatat o vulnerabilitate de tip command injection (CVE-2026-20245) în componentele vManage, vSmart și vBond. Practic, un atacator care a reușit să obțină un acces inițial – probabil printr-o altă breșă de autentificare sau prin certificate compromise – a putut executa comenzi arbitrare cu drepturi de 'root'. Ceea ce face acest incident remarcabil, dincolo de impactul tehnic, este nivelul de sofisticare în ceea ce privește evaziunea. Atacatorii nu doar că au creat un cont nou pentru acces permanent, dar au folosit scripturi pentru a șterge fișierele temporare și pentru a restaura starea originală a sistemului de fișiere, totul pentru a nu lăsa urme (anti-forensics). Aceste manevre sunt tot mai des întâlnite și în mediul corporate din România, unde atacatorii țintesc direct punctul central de control.

#Impact pentru firme

Pentru o firmă medie, o astfel de breșă este devastatoare. Dacă cineva obține acces de 'root' pe controller-ul rețelei tale, are practic cheile de la tot ce înseamnă comunicare internă și externă. Atacatorii pot extrage template-uri de configurare, pot intercepta traficul și pot manipula fluxurile de date. În proiectele noastre, vedem des cum o mică scăpare de configurare se transformă rapid într-o indisponibilitate totală a serviciilor, ceea ce pentru o firmă înseamnă pierderi financiare imediate și un risc major de exfiltrare a datelor confidențiale. Faptul că atacatorii pot 'șterge urmele' înseamnă că sistemele de alertare standard ar putea să nu detecteze nimic, lăsând rețeaua compromisă pe termen nedeterminat.

#Recomandari concrete

Nu așteptați un audit de securitate extern pentru a verifica integritatea infrastructurii. În echipa Activ.NET, recomandăm următoarele acțiuni imediate:

1. Verificarea conexiunilor de peering: Analizați log-urile pentru orice conexiune SD-WAN neautorizată. Orice peer nou care apare în listă fără o justificare tehnică trebuie investigat manual.
2. Actualizarea software-ului: Cisco a lansat patch-uri pentru această vulnerabilitate. Verificați versiunile rulate pe vManage, vSmart și vBond și faceți update imediat. Dacă aveți nevoie de ajutor, serviciul nostru de Administrare servere vă poate asigura că aceste procese sunt făcute fără a întrerupe fluxul de lucru al firmei.
3. Auditarea conturilor administrative: Verificați lista de utilizatori pentru conturi neobișnuite (cum a fost cel de 'troot' din incident). Restricționați accesul la interfața de management doar la adrese IP de încredere (VPN sau management VLAN securizat).

În cazul în care infrastructura voastră necesită o consolidare, serviciile noastre de Service IT pentru firme pot oferi monitorizarea necesară pentru a identifica astfel de tentative de compromitere înainte ca ele să escaladeze.

#Concluziile noastre

Incidentul Cisco ne reamintește că nicio soluție IT, oricât de robustă, nu este imună la erori umane sau vulnerabilități zero-day. La Activ.NET, considerăm că diferența între o companie care suferă un incident major și una care trece prin el fără pagube stă în vizibilitatea asupra rețelei. Dacă nu știi ce se întâmplă în spatele gateway-ului tău SD-WAN, ești vulnerabil. Securitatea IT în Arad nu trebuie să fie un lux, ci o igienă digitală cotidiană.

Inspirat din: BleepingComputer