Kritieke Cisco SD-WAN-kwetsbaarheid al sinds 2023 misbruikt

In dit artikel:

Cisco waarschuwt voor een actief misbruikte zero-day in Catalyst SD‑WAN (CVE‑2026‑20127). Onderzoeksafdeling Talos ontdekte dat een onbekende groep, aangeduid als UAT‑8616, de fout al sinds ten minste 2023 inzet om SD‑WAN‑controllers te overnemen en kwaadwillende peers aan netwerken toe te voegen.

De kwetsbaarheid zit in het peering‑authenticatiemechanisme: speciaalgemaakte verzoeken laten aanvallers inloggen als een intern, privileged non‑rootaccount. Daarmee krijgen ze toegang tot NETCONF en kunnen ze netwerkconfiguraties van de SD‑WAN‑fabric manipuleren. Volgens Cisco downgraden de aanvallers eerst de software naar een kwetsbare versie om roottoegang te krijgen en herstellen later de firmware om sporen te wissen.

CISA plaatste de fout in haar Known Exploited Vulnerabilities‑lijst en gaf federale civiele instanties slechts twee dagen om te patchen of het product uit te schakelen — normaal is de termijn drie weken, wat de urgentie onderstreept. Cisco heeft patches uitgebracht en raadt organisaties die SD‑WAN‑versies ouder dan 20.9.1 draaien te migreren naar beveiligde releasenummers (20.9.8.2, 20.12.6.1, 20.12.5.3 of 20.18.2.1). Er zijn geen betrouwbare workarounds.

Beheerders wordt dringend aangeraden logs te onderzoeken op verdachte activiteiten en toegang te beperken via access control lists totdat gepatcht is. Omdat controllers de hartslag van SD‑WAN‑netwerken vormen, kan misbruik leiden tot brede netwerktoegang, onderschepping van verkeer en langere‑termijn persistentie — reden genoeg voor snelle actie.