邊緣裝置成國家級攻擊跳板：Cisco SD-WAN 遭駭事件揭示電信基礎設施新威脅

Google 旗下威脅情報機構 Mandiant 於 2026 年 6 月 24 日發布調查報告，揭露一起針對通訊服務供應商（Communications Service Provider，CSP）的進階滲透事件。攻擊者至少自 2025 年底起持續入侵受害方的 Cisco Catalyst SD-WAN 管理設備，並利用此後才公開揭露的零時差漏洞 CVE-2026-20245 取得系統最高權限，整個過程伴隨系統性的反鑑識操作，嚴重削弱調查人員的追蹤能力。

SD-WAN 控制器成滲透核心

本次事件的攻擊目標高度集中於 Cisco Catalyst SD-WAN 的管理控制層。SD-WAN 管理器（Manager）負責統一調度企業或電信業者旗下所有邊緣設備的路由策略與組態配置，一旦遭到入侵，攻擊者即可取得對整個 SD-WAN 架構的中央控制權，並對流經其中的企業內部流量實施持續性監控。

Mandiant 研究人員指出，攻擊者於 2025 年底至 2026 年 1 月間，對受害的 SD-WAN Manager 設備發動多次未授權對等連線。研究人員認為，此波活動可能利用了 CVE-2026-20127 或 CVE-2026-20182 兩個認證繞過漏洞。這兩個漏洞均允許未經授權的遠端攻擊者略過身份驗證並取得管理員權限，且在當時均尚未公開揭露，屬於零時差漏洞。

2026 年 3 月，攻擊者對一台執行較新版本軟體的設備發動第二波連線，該版本已修補 CVE-2026-20127。Cisco 確認，此波連線亦未利用 CVE-2026-20182，研究人員推斷攻擊者可能使用了先前入侵同一設備時竊取的憑證材料。

零時差漏洞遭提前利用，root 存取靜悄悄落入敵手

Mandiant 確認攻擊者在第二波活動中利用了 CVE-2026-20245。這個 CVSS 評分 7.8 的高危漏洞源自 Cisco Catalyst SD-WAN Manager 命令列介面（CLI）對用戶輸入驗證不足，已認證的本地攻擊者可透過上傳惡意構造的 CSV 檔案（事件中命名為 evil_tenant.csv）執行任意指令並提升至 root 權限。

Cisco 直至 2026 年 6 月 4 日才公開揭露此漏洞，修補程式更於 6 月 10 日才釋出。這意味著攻擊者在防禦方毫不知情的情況下，掌握並實際使用此漏洞至少兩個月。

Google 威脅情報小組（GTIG）首席威脅分析師 Austin Larsen 說明攻擊者的具體操作：攻擊者竄改預設管理員密碼、竊取 SD-WAN 網路配置資料後，隨即利用惡意 CSV 上傳提升至 root 權限，並在 /etc/passwd 及 /etc/shadow 中建立隱藏帳號 troot。完成目的後，攻擊者刪除所有接觸過的檔案，並執行驗證腳本確認未留下任何痕跡，最後將管理員密碼還原原值，令後續登入的管理員察覺不到任何異常。

「以邊緣為跳板」典範的戰略意涵

Google Mandiant 在報告中明確點名，本次事件再度印證了「living-off-the-edge(寄生攻擊)」的攻擊典範。威脅行為者刻意優先入侵網路邊緣裝置，以此規避傳統安全邊界。

邊緣裝置之所以成為首選目標，原因在於其先天性的防禦劣勢。負責管理邊緣設備的協調器（orchestrators）及軟體定義網路設備，普遍缺乏支援深度鑑識分析所需的遙測資料，也不支援端點偵測與回應（EDR）解決方案。Mandiant 指出，這類設備作為中央控制平面，為攻擊者提供了一個隱蔽的持久性立足點，得以對企業內部流量實施廣泛監控。

Mandiant 顧問技術長 Charles Carmakal 表示，進階攻擊者持續優先鎖定並入侵不原生支援 EDR 解決方案的網路設備與其他系統。對於將 SD-WAN 作為核心廣域網路管理骨幹的電信服務供應商而言，控制平面一旦失守，其影響範圍遠超單一設備，足以波及整個服務網路所有下游客戶的流量可見性。

Pentest-Tools.com 首席資安研究員 Matei Badanoiu 進一步指出，本案清楚呈現了漏洞利用與公開揭露之間的「防禦空窗期」問題。在漏洞尚未曝光、修補程式尚未存在的期間，攻擊者已具備完整的武器知識，而防禦方對此一無所知。

資安主管的關鍵提醒

本次事件對負責網路基礎設施防護的資安主管提出數項直接挑戰，均源自 Mandiant 調查報告的具體發現。

第一，現有 EDR 防禦體系對邊緣設備可能完全失效。Mandiant 明確指出 SD-WAN 等設備不支援 EDR，且缺乏深度鑑識所需的遙測資料，資安主管應重新評估組織內邊緣裝置的可視性覆蓋缺口。

第二，SD-WAN 控制平面的爆炸半徑（blast radius）遠超預期。Mandiant 指出此類設備一旦失守，攻擊者即可對整個網路架構下的企業內部流量實施持久性監控，影響範圍不限於單一設備。

第三，單純依賴修補管理不足以應對零時差威脅。CVE-2026-20245 遭利用時間早於公開揭露至少兩個月，在此期間任何基於漏洞資料庫的防禦機制均無從發揮作用。

第四，攻擊者的反鑑識能力使事後調查極度困難。Austin Larsen 的描述顯示攻擊者離開時幾乎不留痕跡，組織需在事件發生前即建立完善的網路側日誌留存機制，而非仰賴設備本身的記錄。

第五，帳號異常監控存在盲點。攻擊者在操作完成後將管理員密碼還原原值，使一般登入查核無法察覺異常，顯示針對特權帳號的行為基線分析比單純的密碼變更告警更為關鍵。

Cisco 已於 2026 年 6 月 10 日釋出 CVE-2026-20245 的修補程式，CVE-2026-20127 及 CVE-2026-20182 的更新亦已同步提供。受影響範圍涵蓋本地部署、Cloud-Pro、雲端（Cisco 託管）及政府（FedRAMP）等各類安裝環境，相關組織應立即確認版本並優先套用。