De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft dinsdag drie nieuwe kwetsbaarheden toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, na meldingen van actieve exploitatie.
De lijst met kwetsbaarheden is als volgt:
- CVE-2026-20245 (CVSS-score: 7,8) – Een onjuiste codering of ontsnapping van uitvoerkwetsbaarheid in Cisco Catalyst SD-WAN Manager waardoor een geverifieerde, lokale aanvaller willekeurige opdrachten als root kan uitvoeren door een vervaardigd bestand aan het getroffen systeem te leveren.
- CVE-2026-11645 (CVSS-score: 8,8) – Een lees- en schrijfkwetsbaarheid buiten het bereik in Google Chrome V8 waardoor een aanvaller op afstand willekeurige code in een sandbox kan uitvoeren via een vervaardigde HTML-pagina.
- CVE-2026-7473 (CVSS-score: 6,9) – Een onvolledige vergelijking met de kwetsbaarheid van ontbrekende factoren in het Arista Extensible Operating System (EOS) die kan worden misbruikt om niet-geconfigureerd tunnelverkeer te verwerken.
Geen patch gepland voor uitgebuite Arista EOS-fout
“Op getroffen platforms waarop Arista EOS draait en waar een tunnel-decapsulatieconfiguratie – zoals VXLAN (Virtual Extensible LAN), decap-groups of een GRE (Generic Routing Encapsulation) tunnelinterface – aanwezig is, zal de switch andere onverwachte getunnelde pakketten onjuist decapsuleren en doorsturen met een bestemmings-IP die overeenkomt met het geconfigureerde decapsulatie-IP”, aldus Arista.
“Dit gebeurt omdat de switch het tunnelprotocoltype niet verifieert, wat mogelijk kan leiden tot de onverwachte verwerking van niet-geconfigureerd tunnelverkeer.”
Het beveiligingsfout heeft vooral gevolgen voor producten uit de 7020R-, 7280R/R2- en 7500R/R2-serie. Om een succesvolle exploitatie te laten plaatsvinden, moet het apparaat echter worden geconfigureerd als een tunneleindpunt met een decapsulatie-IP, zoals een VXLAN VTEP, een GRE-tunneleindpunt of met een IP-decapsgroep.
Het netwerkapparatuurbedrijf erkende dat de kwetsbaarheid “naar verluidt in het wild wordt uitgebuit”, en crediteert Scott Christiansen, Lukas Peitz, Rich Compton en Jonathan Davis van Comcast voor het op verantwoorde wijze openbaar maken ervan.
Desondanks zei Arista dat er geen patches gepland zijn om CVE-2026-7473 aan te pakken, daarbij verwijzend naar het risico dat dit de bestaande configuraties van implementaties zou kunnen verbreken. Het bedrijf heeft maatregelen geschetst om het probleem aan te pakken.
“Er zijn twee brede benaderingen om dit probleem te verhelpen: (1) het toepassen van ACL’s op upstream-apparaten of (2) het toepassen van ACL’s op de apparaten waar de onverwachte decapsulatie plaatsvindt”, aldus Arista. “In beide gevallen is het de bedoeling om ofwel selectief alleen legitiem tunnelverkeer toe te staan, ofwel selectief kwaadaardig tunnelverkeer te blokkeren.”
De agentschappen van de Federal Civilian Executive Branch (FCEB) hebben de opdracht gekregen om vóór 23 juni 2026 de nodige oplossingen of oplossingen aan te brengen om de dreiging die uitgaat van de drie kwetsbaarheden het hoofd te bieden.
