針對網路基礎設施的攻擊正變得越來越精準。近期 Google 旗下的 Mandiant 近期揭露了一起針對 Cisco Catalyst SD-WAN 的攻擊事件,攻擊者利用了一個零日漏洞 CVE-2026-20245,成功將一般管理員權限提升至系統最高權限 Root。這起事件不僅揭示了漏洞本身的危險性,更反映出目前企業網路邊緣設備在偵測與鑑識上的嚴重缺陷。
理解核心漏洞:CVE-2026-20245
這是一個高風險的權限提升漏洞,其核心問題在於系統對使用者輸入的驗證不足。在資安領域中,這類問題通常被稱為 Input Validation 缺失,也就是系統在處理外部傳入的資料時,沒有嚴格檢查資料的格式或內容是否合法,導致攻擊者可以透過構造特殊的惡意檔案來欺騙系統。
具體到這次的攻擊,攻擊者利用了 CSV 檔案上傳功能。他們上傳了一個名為 evil_tenant.csv 的惡意檔案,觸發了系統漏洞,從而能夠在設備上執行任意指令。最關鍵的是,這次攻擊要求攻擊者必須已經擁有 netadmin 權限(一種具有網路管理能力的帳號),這意味著這是一個二階段攻擊:攻擊者先獲取初步進入權限,再利用此漏洞將權限從管理員提升至 Root。
Root 權限為什麼如此危險
對於工程師來說,Root 是 Linux 或類 Unix 系統中的超級管理員,擁有對系統的所有控制權。一旦攻擊者取得 Root 權限,他們可以修改系統核心設定、安裝隱蔽的後門、讀取所有機密設定檔,甚至完全接管整個 SD-WAN 網路架構。在本次事件中,攻擊者甚至在系統檔案 /etc/passwd 與 /etc/shadow 中創建了一個名為 troot 的隱藏帳號,確保即使原有的管理員密碼被更改,他們依然能隨時進入系統。
攻擊路徑的演進:從進入到潛伏
根據 Mandiant 的分析,這次攻擊並非單一動作,而是一個複雜的過程。攻擊者可能先利用了其他尚未公開的零日漏洞(如 CVE-2026-20127 或 CVE-2026-20182)來繞過身分驗證,或者直接使用先前竊取的憑證進入系統。
進入系統後,攻擊者的操作極具專業性。他們採取了強大的反鑑識技術,例如在修改設定檔後將其還原,或者在完成操作後刪除所有相關的暫存檔。甚至在更改預設管理員密碼以排除其他管理員後,完成資料竊取後又將密碼改回原樣。這種行為旨在讓正常的系統管理員在登入時感覺不到任何異樣,從而延長潛伏時間。
邊緣設備的安全盲區:為什麼 EDR 救不了你
這起事件揭露了一個讓許多維運工程師不安的事實:網路邊緣設備(Edge Devices,如 SD-WAN 控制器、防火牆、路由器)通常是安全監控的死角。
在一般的伺服器或工作站上,我們會安裝 EDR(Endpoint Detection and Response,端點偵測與回應)工具,它可以即時監控行程執行、檔案變更與網路連線。但大多數的網路設備是封閉系統,不支援安裝第三方 EDR 代理程式。這導致設備缺乏足夠的遙測數據(Telemetry),當攻擊者在設備內部進行檔案刪除或權限提升時,後端監控系統很難發現異常。
這就是為什麼進階威脅參與者(APT)傾向於將網路設備作為跳板。一旦在邊緣設備站穩腳跟,他們就可以在不觸發伺服器端警報的情況下,持續監控整個企業內部網路的流量。
總結與實務建議
這次的 Cisco 事件提醒我們,僅僅依賴設備更新是不夠的。面對零日漏洞,我們應採取以下防禦思維:
第一,嚴格實施最小權限原則。既然 CVE-2026-20245 需要 netadmin 權限才能觸發,限制能接觸該權限的人員數量,就能大幅降低被利用的風險。
第二,強化日誌外送。由於設備本地日誌容易被攻擊者刪除(如本次事件所示),必須將所有系統日誌即時同步到外部的 Syslog 伺服器或 SIEM 平台,確保鑑識證據不會隨設備被清理而消失。
第三,監控異常的連線行為。雖然設備內部難以監控,但可以從網路層面監控設備是否有異常的對外連線或未經授權的對等連線(Peering Connections)。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。