Mandiant Ungkap Taktik Eksploitasi Zero-Day Cisco SD-WAN, Peretas Berhasil Dapatkan Akses Root

Perusahaan intelijen ancaman siber, Mandiant, baru-baru ini membeberkan detail teknis mendalam mengenai bagaimana kelompok peretas mengeksploitasi kerentanan zero-day pada jajaran perangkat Cisco Catalyst SD-WAN. Celah keamanan yang melacak kode CVE-2026-20245 ini digunakan oleh peretas secara cerdik untuk menciptakan akun root palsu guna mengambil alih kendali perangkat target secara penuh.

CVE-2026-20245 merupakan kerentanan injeksi perintah (command injection) dengan tingkat keparahan tinggi (high-severity) yang berdampak pada komponen Cisco Catalyst SD-WAN Manager (vManage), Controller (vSmart), dan Validator (vBond). Celah ini bermula dari lemahnya proses validasi terhadap input yang diberikan oleh pengguna. Ketika pertama kali diungkapkan oleh Cisco pada awal bulan ini, perusahaan hanya memberikan sedikit informasi yang menyebutkan bahwa celah ini telah dieksploitasi dalam jumlah terbatas dan memungkinkan perubahan konfigurasi tanpa izin pada perangkat edge.

Kini, analisis terbaru dari Mandiant menyingkap bagaimana peretas merangkai eksploitasi tersebut menjadi serangan siber tingkat lanjut.

Kronologi Penyusupan dan Ekskalasi Hak Akses

Berdasarkan laporan investigasi, celah CVE-2026-20245 sejatinya dieksploitasi sebagai sarana eskalasi hak akses (privilege-escalation) setelah peretas berhasil menyusup ke dalam perangkat SD-WAN target.

Jejak intrusi pertama kali terdeteksi pada infrastruktur penyedia layanan di bulan Maret 2026, di mana pelaku ancaman berhasil membangun koneksi peering SD-WAN yang tidak sah. Setelah koneksi terbentuk, peretas melakukan otentikasi ke perangkat SD-WAN Manager menggunakan akun administratif bawaan vmanage-admin.

Tim Mandiant menduga bahwa akses peering palsu ini kemungkinan besar diperoleh dengan mengeksploitasi kerentanan bypass otentikasi lawas pada SD-WAN, seperti CVE-2026-20127 dan CVE-2026-20182. Namun, pihak Cisco memberikan sanggahan dengan menyatakan bahwa insiden ini mungkin juga melibatkan penggunaan sertifikat digital yang dicuri dari pembobolan sebelumnya, alih-alih mengeksploitasi celah lawas tersebut.

Setelah mengamankan akses awal, peretas langsung mengubah kata sandi akun admin bawaan, masuk ke antarmuka web SD-WAN Manager, dan mengekstrak seluruh informasi konfigurasi penting untuk perangkat edge, pengontrol, hingga templat SD-WAN. Hebatnya, setelah pencurian data selesai, mereka mengembalikan kata sandi admin ke versi aslinya untuk menyembunyikan aktivitas mencurigakan.

Eksekusi File Berbahaya dan Pembuatan Akun Root Palsu

Fase eksploitasi CVE-2026-20245 dimulai ketika peretas memanfaatkan fitur unggah penyewa (tenant-upload) di antarmuka baris perintah (CLI) SD-WAN. Mereka mengunggah sebuah file CSV berbahaya yang dimodifikasi secara khusus dengan nama evil_tenant.csv.

Kehadiran file CSV beracun ini memicu sistem untuk mengeksekusi perintah arbitrer tingkat root. Skrip muatan (payload) berbahaya yang berjalan kemudian secara otomatis membuat salinan cadangan (backup) dari file konfigurasi sistem yang sangat sensitif, yakni /etc/passwd dan /etc/shadow.

Setelah struktur file dicadangkan, payload tersebut menyuntikkan dan menciptakan akun baru bernama “troot” dengan hak istimewa root tingkat tertinggi. Menggunakan perintah sistem operasi Linux su, peretas kemudian beralih dari akun administratif yang sebelumnya diretas langsung ke akun “troot” yang baru saja dibuat, sehingga memberi mereka kendali mutlak atas perangkat SD-WAN tersebut.

Taktik Anti-Forensik Tingkat Tinggi

Hal yang paling menonjol dari kampanye serangan ini adalah tingkat kehati-hatian peretas dalam menerapkan taktik anti-forensik. Mereka sangat teliti dalam membersihkan setiap jejak digital agar tidak terdeteksi oleh radar administrator jaringan.

Beberapa langkah pembersihan jejak yang dilakukan peretas meliputi:

• Mengembalikan (restore) file konfigurasi /etc/passwd dan /etc/shadow ke kondisi semula sebelum dimodifikasi.
• Menghapus file payload evil_tenant.csv dari direktori penyimpanan.
• Membersihkan seluruh file temporer yang tercipta secara otomatis selama proses serangan berlangsung.
• Menghapus akun “troot” tanpa sisa segera setelah operasi pengambilalihan selesai.
• Menjalankan sebuah skrip validasi khusus guna memastikan bahwa seluruh jejak kompromi di dalam sistem telah benar-benar terhapus bersih.

Sebagai respons mitigasi, Mandiant telah memublikasikan daftar Indikator Kompromi (IoC) beserta alamat IP yang digunakan oleh penyerang untuk membantu organisasi memeriksa infrastruktur mereka. Para administrator sistem sangat diimbau untuk segera mengumpulkan data diagnostik dari perangkat SD-WAN, memeriksa indikasi koneksi peering yang tidak dikenali, dan memperbarui versi perangkat lunak Cisco ke rilis perbaikan terbaru tanpa penundaan.

Sumber: Laporan Analisis Mandiant