Cisco meldt dat een kritieke kwetsbaarheid in Catalyst SD-WAN al sinds 2023 wordt misbruikt. De kwetsbaarheid, getrackt als CVE-2026-20127, stelt aanvallers in staat om controllers te compromitteren en valse peers aan netwerken toe te voegen. CISA geeft Amerikaanse overheidsinstanties twee dagen om te patchen, en andere organisaties zouden er goed aan doen die urgentie over te nemen.
De zero-day in Cisco Catalyst SD-WAN wordt actief geëxploiteerd, stelt Cisco’s beveiligingstak Talos. Het onderzoeksteam ontdekte dat aanvallers via deze kwetsbaarheid controllers compromitteren en kwaadwillende peers aan doelnetwerken koppelen. De groep UAT-8616, verder nog niet bekend, zou de fout sinds ten minste 2023 exploiteren.
Het probleem zit in het authenticatiemechanisme voor peering. De peering authentication werkt niet naar behoren, aldus de National Vulnerability Database (NVD). Daardoor kunnen kwaadwillenden via speciaal vervaardigde verzoeken toegang krijgen tot getroffen Cisco Catalyst SD-WAN Controllers. Vervolgens loggen ze in als een interne, privileged, non-root gebruikersaccount.
Toegang tot NETCONF
Met dit account krijgen aanvallers toegang tot NETCONF. Die toegang stelt hen in staat om netwerkconfiguraties voor de SD-WAN-fabric te manipuleren. De ernst van de kwetsbaarheid blijkt ook uit de aanvalsmethode: UAT-8616 zou starten met het downgraden van de SD-WAN-oplossing naar een oudere, kwetsbare versie. Na het verkrijgen van root-toegang herstellen de criminelen de originele firmwareversie om hun sporen uit te wissen.
De Amerikaanse veiligheidsdienst CISA voegde de bug toe aan haar Known Exploited Vulnerabilities-catalogus. Federal Civilian Executive Branch-instanties krijgen hierdoor slechts twee dagen om te patchen of het product niet meer te gebruiken. Normaliter geeft CISA drie weken de tijd, maar in dit geval achten ze de dreiging te urgent. Andere organisaties zullen tevens snel te werk moeten gaan om exploitatie te voorkomen.
Cisco bracht patches uit voor meerdere versies. Organisaties die SD-WAN-versies draaien ouder dan 20.9.1, moeten migreren. De fixes zijn beschikbaar in versies 20.9.8.2, 20.12.6.1, 20.12.5.3 en 20.18.2.1. Er bestaan geen workarounds, maar Cisco adviseert beheerders om logbestanden te controleren op verdachte activiteiten en toegang te beperken via access control lists.