A Mandiant egy blogbejegyzésben írta le, hogy egy támadó az év elején kihasználta a Cisco egy korábban ismeretlen és még nem javított sebezhetőségét, hogy behatolhasson egy távközlési szolgáltató rendszerébe, és megszerezze a lehetséges legmagasabb szintű hozzáférést. A Cisco azóta kijavította a hibát, amely egyike volt az idei év hét nulladik napi sérülékenységeinek az SD-WAN szoftverében. Ezt jellemzően olyan szervezetek használják, akik szerteágazó hálózatot üzemeltetnek, mint például a több bankfiókot üzemeltetető bankok.
A blogbejegyzésben a Google tulajdonában lévő kiberbiztonsági cég kifejtette, hogy a támadó (vagy támadók) root-szintű hozzáférést felhasználva széles körű és észrevétlen betekintést nyerhetett a szolgáltató teljes vállalati hálózatán futó adatforgalomba. A tényleges kár felmérése, illetve a támadó/k kilétének felfedése azonban nem volt sikeres, mivel a tettesek sikeresen el tudták rejteni tevékenységüket. Az eset továbbá rávilágított arra, hogy a hackerek a perifériás eszközöket is előszeretettel támadják. Ez az elmúlt időszakban egyre gyakoribb, és fontos szerepet játszott néhány igazán súlyos adatbiztonsági incidensben is,továbbá a CISA idén ezért utasította a szövetségi ügynökségeket, hogy fordítsanak rájuk kifejezetten nagy figyelmet.
A vállalat az érintett szolgáltató nevét nem hozta nyilvánosságra. Kelli Vanderlee, a Google Threat Intelligence Group vezető menedzsere a CyberScoopnak adott nyilatkozatában elmondta, hogy a perifériás-eszközök sérülékenységeinek kihasználása és a kiterjedt nyomozásgátló tevékenységek összhangban állnak a korábban ismert kiberkémkedési módszerekkel. A vállalat még az érintett szolgáltató nevét sem hozta nyilvánosságra.
A szolgáltató elleni támadások két hullámban voltak megfigyelhetők. Az elsőt 2025 vége és 2026 eleje között észlelték, az akkor még nem javított két sérülékenység (CVE-2026-20127 vagy CVE-2026-20182) kihasználásával – jogosulatlan peering kapcsolatokat létesített az SD-WAN Manager eszközeivel, így igazolva a kapcsolat hitelességét és bizalmi viszonyt kialakítva. Bejutás után a támadó megkönnyítette a hozzáférését, és ezt kihasználva megváltoztatta az alapértelmezett fiókjelszavakat, abban a reményben, hogy így elkerüli a felderítést. Ezután kihasználta a Cisco Catalyst SD-WAN Manager sebezhetőségét (CVE-2026-20245), és létrehozott egy „troot” nevű hamis felhasználói fiókot, amelynek teljes root-szintű hozzáférést biztosított.
„2026. június 4-én a Cisco biztonsági közleményt tett közzé a Cisco Catalyst SD-WAN Manager jogosultság-kiterjesztési sebezhetőségéről” – mondta a Cisco szóvivője. „A Cisco határozottan javasolja ügyfeleinek, hogy frissítsenek a közleményben ismertetett, a hibát kijavító szoftververzióra.”

