De USCybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een nieuw bekendgemaakte kwetsbaarheid met gevolgen voor Cisco Catalyst SD-WAN Controller toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor agentschappen van de Federal Civilian Executive Branch (FCEB) het probleem vóór 17 mei 2026 moeten verhelpen.
Het beveiligingslek is een kritieke authenticatieomzeiling die wordt bijgehouden als CVE-2026-20182. Het wordt beoordeeld met een 10,0 op het CVSS-scoresysteem, wat de maximale ernst aangeeft.
“Cisco Catalyst SD-WAN Controller en Manager bevatten een kwetsbaarheid voor het omzeilen van authenticatie waarmee een niet-geverifieerde, externe aanvaller de authenticatie kan omzeilen en beheerdersrechten kan verkrijgen op een getroffen systeem”, aldus CISA.
In een afzonderlijk advies schreef Cisco de actieve exploitatie van CVE-2026-20182 met groot vertrouwen toe aan UAT-8616, hetzelfde cluster achter de bewapening van CVE-2026-20127 om ongeoorloofde toegang tot SD-WAN-systemen te verkrijgen.
“UAT-8616 voerde vergelijkbare post-compromisacties uit na het succesvol exploiteren van CVE-2026-20182, zoals werd waargenomen bij de exploitatie van CVE-2026-20127 door dezelfde dreigingsactor”, aldus Cisco Talos. “UAT-8616 heeft geprobeerd SSH-sleutels toe te voegen, NETCONF-configuraties te wijzigen en te escaleren naar root-rechten.”
Er wordt vastgesteld dat de infrastructuur die door UAT-8616 wordt gebruikt voor het uitvoeren van exploitatie- en post-compromisactiviteiten overlapt met Operational Relay Box (ORB)-netwerken, waarbij het cyberbeveiligingsbedrijf vanaf maart 2026 ook meerdere bedreigingsclusters observeert die CVE-2026-20133, CVE-2026-20128 en CVE-2026-20122 exploiteren.
Als de drie kwetsbaarheden aan elkaar worden gekoppeld, kan een niet-geauthenticeerde aanvaller op afstand ongeautoriseerde toegang krijgen tot het apparaat. Ze zijn vorige maand toegevoegd aan de KEV-catalogus van de CISA.
Er is vastgesteld dat deze activiteit gebruik maakt van openbaar beschikbare proof-of-concept-exploitcode om webshells op gehackte systemen in te zetten, waardoor de operators willekeurige bash-opdrachten kunnen uitvoeren. Eén zo’n op JavaServer Pages (JSP) gebaseerde webshell heeft de codenaam XenShell gekregen vanwege het gebruik van een PoC uitgegeven door ZeroZenX Labs.
Minstens tien verschillende clusters zijn in verband gebracht met de exploitatie van de drie tekortkomingen:
- Cluster 1 (Actief sinds minstens 6 maart 2026), waarbij de Godzilla-webshell wordt ingezet
- Cluster 2 (Actief sinds minimaal 10 maart 2026), waarbij de Behinder-webshell wordt ingezet
- Cluster 3 (Actief sinds minimaal 4 maart 2026), waarbij de XenShell-webshell en een variant van Behinder worden ingezet
- Cluster 4 (Actief sinds minstens 3 maart 2026), waarbij een variant van de Godzilla-webshell wordt ingezet
- Cluster 5 (Actief sinds ten minste 13 maart 2026), een malware-agent die is samengesteld op basis van het AdaptixC2 red teaming-framework
- Cluster 6 (Actief sinds ten minste 5 maart 2026), waarbij het Sliver command-and-control (C2) raamwerk wordt ingezet
- Cluster 7 (Actief sinds minstens 25 maart 2026), dat een XMRig-mijnwerker inzet
- Cluster 8 (Actief sinds minstens 10 maart 2026), dat gebruik maakt van de KScan asset mapping tool en op Nim gebaseerde achterdeur die waarschijnlijk gebaseerd is op NimPlant en wordt geleverd met mogelijkheden om bestandsbewerkingen uit te voeren, bestanden uit te voeren met bash en systeeminformatie te verzamelen
- Cluster 9 (Actief sinds ten minste 17 maart 2026), dat gebruik maakt van een XMRig-miner en een peer-based proxying- en tunnelingtool genaamd gsocket
- Cluster 10 (Actief sinds ten minste 13 maart 2026), waarbij een inloggegevenssteler wordt ingezet die probeert de hashdump van een beheerder te verkrijgen, JSON Web Tokens (JWT)-sleutelblokken die worden gebruikt voor REST API-authenticatie en AWS-inloggegevens voor vManage
Cisco raadt klanten aan de richtlijnen en aanbevelingen in de adviezen voor de bovengenoemde kwetsbaarheden op te volgen om hun omgevingen te beschermen.
