Meer kwetsbaarheden in Cisco Catalyst SD-WAN Manager geëxploiteerd

In dit artikel:

Cisco waarschuwt voor vijf kwetsbaarheden in Catalyst SD‑WAN Manager; twee daarvan worden al actief misbruikt. Het beveiligingsadvies verscheen op 25 februari en is recent geactualiseerd. De problemen variëren van gemiddeld tot kritiek en maken onder meer mogelijk: authenticatieomzeiling, privilege-escalatie naar root, uitlezen van gevoelige bestanden en het overschrijven van willekeurige bestanden. Alle releases van SD‑WAN Manager bleken voor ten minste één van de vijf issues kwetsbaar; voor de meest ernstige kwetsbaarheid (CVE‑2026‑20129, CVSS 9,8) geldt dat versies 20.18 en hoger niet vatbaar zijn.

Cisco’s PSIRT meldt dat twee CVE’s al in het wild worden gebruikt: CVE‑2026‑20122 (aanvaller met lees‑API toegang kan bestanden overschrijven en vmanage‑rechten verkrijgen, CVSS 7,1) en CVE‑2026‑20128 (opgeslagen DCA‑inloggegevens zichtbaar voor lokale lage‑rechten gebruiker, CVSS 5,5). De overige drie (CVE‑2026‑20129, CVE‑2026‑20126 en CVE‑2026‑20133) werden niet in actieve campagnes gezien. Alle vijf zijn ontdekt door Arthur Vidineyev van Cisco’s Advanced Security Initiatives Group.

Er zijn geen tijdelijke workarounds; enkel het installeren van geposte patches verhelpt de fouten. Cisco adviseert onmiddellijke upgrade naar de gepatchte builds (20.9.8.2, 20.12.5.3, 20.15.4.2 of 20.18.2.1) en volledige migratie als men ouder is dan 20.9. Verder raadt Cisco aan controlecomponenten achter een firewall te plaatsen, toegang vanuit onbeveiligde netwerken te beperken en logs op verdachte activiteiten te monitoren. Eerdere analyses van Cisco Talos tonen dat de SD‑WAN‑omgeving al sinds ten minste 2023 doelwit is van bedreigingsgroep UAT‑8616, die misbruik maakt van vergelijkbare authenticatiezwakheden.