Cisco heeft vijf kwetsbaarheden in Catalyst SD-WAN Manager bekendgemaakt, waarvan er twee actief worden misbruikt. De ernstigste heeft een CVSS-score van 9,8 en stelt niet-geverifieerde externe aanvallers in staat om authenticatie volledig te omzeilen. Er zijn geen andere oplossingen dan het installeren van een patch. Cisco raadt alle getroffen klanten ten zeerste aan om onmiddellijk te upgraden naar een gerepareerde softwareversie.
Cisco publiceerde het beveiligingsadvies op 25 februari, maar heeft het vandaag bijgewerkt. Het beschrijft vijf kwetsbaarheden in Catalyst SD-WAN Manager. De ernst van de kwetsbaarheden varieert van gemiddeld tot kritiek. Ze stellen aanvallers in staat om authenticatie te omzeilen, privileges te escaleren naar root, toegang te krijgen tot gevoelige informatie en willekeurige bestanden te overschrijven. Alle versies zijn getroffen, ongeacht de configuratie van het apparaat.
Deze maand heeft Cisco PSIRT bevestigd dat twee van de vijf kwetsbaarheden actief worden misbruikt. Dit zijn CVE-2026-20128 en CVE-2026-20122. De andere drie CVE’s in dit advies zijn niet waargenomen in actieve campagnes. Alle vijf zijn ontdekt tijdens interne beveiligingstests door Arthur Vidineyev van Cisco’s Advanced Security Initiatives Group.
Vijf kwetsbaarheden, waarvan één kritiek
De ernstigste kwetsbaarheid is CVE-2026-20129, een authenticatie-bypass met een CVSS-score van 9,8. Een niet-geauthenticeerde externe aanvaller kan een speciaal vervaardigd API-verzoek verzenden om toegang te krijgen met netadmin-rolrechten, zonder dat daarvoor geldige inloggegevens nodig zijn. Versies 20.18 en hoger worden niet beïnvloed door deze specifieke CVE.
CVE-2026-20126 (CVSS 7,8) stelt een lokale aanvaller met lage rechten in staat om via de REST API te escaleren naar root. CVE-2026-20133 (CVSS 7,5) stelt een niet-geverifieerde externe aanvaller in staat om gevoelige bestanden te lezen door onvoldoende beperkingen op het bestandssysteem. CVE-2026-20122 (CVSS 7.1) stelt een geauthenticeerde aanvaller met alleen-lezen API-toegang in staat om willekeurige bestanden te overschrijven en vmanage-gebruikersrechten te verkrijgen. CVE-2026-20128 (CVSS 5.5) legt een opgeslagen DCA-inloggegevensbestand bloot dat een lokale gebruiker met beperkte rechten kan lezen om toegang te krijgen tot een ander systeem.
Actieve exploitatie en patchen
Het SD-WAN-platform van Cisco is duidelijk een actief doelwit. Zoals eind vorige maand bleek, maakt de groep bedreigingsactoren UAT-8616 al sinds ten minste 2023 misbruik van authenticatiezwakheden in Cisco Catalyst SD-WAN, waardoor controllers worden gecompromitteerd en malafide peers aan netwerken worden toegevoegd. Het Cisco Talos-team heeft deze campagne in detail omschreven.
Ter herhaling: er bestaan geen tijdelijke oplossingen voor de vijf kwetsbaarheden. De veilig geachte releases zijn 20.9.8.2, 20.12.5.3, 20.15.4.2 en 20.18.2.1. Organisaties die een versie ouder dan 20.9 gebruiken, moeten volledig migreren. Cisco adviseert ook om controlecomponenten achter een firewall te plaatsen, de toegang vanuit onbeveiligde netwerken te beperken en logbestanden te controleren op verdachte activiteiten.