CVE-2026-20245 này ảnh hưởng đến toàn bộ các mô hình triển khai, bao gồm on-premises, Cisco SD-WAN Cloud, Cloud-Pro và cả các môi trường đạt chuẩn FedRAMP dành cho chính phủ, qua đó mở rộng đáng kể phạm vi tấn công và mức độ rủi ro đối với các tổ chức sử dụng nền tảng này.
Đến tháng 3/2026, nhóm tin tặc quay trở lại với các kết nối peer giả mạo mới nhằm duy trì hiện diện trong hệ thống và tiếp tục mở rộng quyền truy cập. Lần này, chúng đăng nhập vào SD-WAN Manager thông qua SSH bằng tài khoản mặc định vmanage-admin – một điểm yếu vốn dễ bị khai thác nếu không được thay đổi kịp thời. Sau khi xâm nhập thành công, tin tặc nhanh chóng thay đổi mật khẩu tài khoản quản trị mặc định để giành quyền kiểm soát độc quyền, đồng thời chuyển sang giao diện web quản lý để thao tác trực tiếp trên hệ thống. Chuỗi hành động này cho thấy mức độ chuẩn bị có chủ đích, không chỉ dừng ở việc truy cập ban đầu mà còn nhằm thiết lập quyền kiểm soát lâu dài đối với hạ tầng SD-WAN.
Trong quá trình này, tin tặc tiến hành trích xuất dữ liệu cấu hình thiết bị, bao gồm các template cấu hình cho thiết bị biên và toàn bộ cấu hình đang chạy (running configurations). Đáng chú ý, sau khi hoàn tất việc thu thập dữ liệu, chúng đã khôi phục mật khẩu về trạng thái ban đầu nhằm giảm nguy cơ bị phát hiện trong quá trình giám sát vận hành, cho thấy nỗ lực che giấu dấu vết xâm nhập khá có chủ đích.
Tận dụng quyền truy cập SSH đã chiếm được từ tài khoản quản trị, tin tặc sau đó tiếp tục triển khai bước leo thang tiếp theo bằng cách tải lên một tệp có tên evil_tenant.csv. Đây chính là điểm kích hoạt trực tiếp cho việc khai thác lỗ hổng CVE-2026-20245, mở đường cho hành vi thực thi lệnh với quyền hệ thống.
Payload bên trong tệp được thiết kế để can thiệp trực tiếp vào các tệp hệ thống /etc/passwd và /etc/shadow, từ đó chèn thêm một tài khoản mới có tên troot với quyền UID 0 tương đương root hệ thống. Khi tài khoản này được tạo thành công, tin tặc sử dụng lệnh su để chuyển sang quyền người dùng vừa tạo và nhanh chóng giành toàn bộ quyền kiểm soát máy chủ quản lý, qua đó chiếm trọn quyền điều hành hệ thống.
Để che giấu dấu vết xâm nhập, nhóm tin tặc triển khai một quy trình dọn dẹp có chủ đích nhằm xóa bỏ toàn bộ dấu vết hoạt động trên hệ thống. Chúng tiến hành xóa tệp evil_tenant.csv, đồng thời khôi phục cấu hình vbond_vsmart_tenant_list về trạng thái ban đầu. Bên cạnh đó, các tệp hệ thống quan trọng như /etc/passwd và /etc/shadow cũng được hoàn nguyên từ bản sao lưu, nhằm loại bỏ các dấu hiệu can thiệp trước đó và giảm nguy cơ bị phát hiện trong quá trình giám sát hoặc điều tra. Ngoài ra, tài khoản troot cũng được kiểm tra và loại bỏ nhằm giảm khả năng bị phát hiện trong quá trình giám sát hệ thống. Toàn bộ chuỗi hành động cho thấy mức độ kiểm soát và kỷ luật vận hành cao của nhóm tin tặc, với mục tiêu xóa sạch mọi dấu vết xâm nhập và giữ cho hệ thống ở trạng thái “sạch” sau khi hoàn tất chiến dịch.
Trong trường hợp chưa thể triển khai bản vá ngay lập tức, các tổ chức được khuyến cáo áp dụng đồng thời các biện pháp giảm thiểu rủi ro và kiểm tra dấu hiệu xâm nhập, bao gồm:
-
Chạy lệnh request admin-tech trên toàn bộ các thành phần control-plane để thu thập log và rà soát dấu hiệu tấn công (IOC).
-
Kiểm tra file /var/log/scripts.log nhằm phát hiện các hành vi upload bất thường hoặc thay đổi cấu hình không được ủy quyền.
-
Liên hệ ngay với Cisco TAC nếu phát hiện bất kỳ dấu hiệu xâm nhập nào.
-
Áp dụng Cisco Catalyst SD-WAN Hardening Guide để tăng cường bảo mật theo mô hình phòng thủ nhiều lớp cho cả management, control và data plane.





