Cisco heeft gewaarschuwd dat er actief misbruik wordt gemaakt van een zeer ernstig beveiligingslek dat van invloed is op Catalyst SD-WAN Manager.
De kwetsbaarheid, bijgehouden als CVE-2026-20245heeft een CVSS-score van 7,8 op een maximum van 10,0. Het is van invloed op de volgende implementatietypen:
- Implementatie op locatie
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN-cloud (Cisco beheerd)
- Cisco SD-WAN voor de overheid (FedRAMP)
“Een kwetsbaarheid in de CLI van Cisco Catalyst SD-WAN Manager, voorheen SD-WAN vManage, zou een geverifieerde, lokale aanvaller in staat kunnen stellen willekeurige opdrachten als root uit te voeren door een vervaardigd bestand aan het getroffen systeem te leveren”, aldus Cisco in een advies.
Het netwerkbeveiligingsbedrijf zei dat de kwetsbaarheid het gevolg is van onvoldoende validatie van door de gebruiker aangeleverde invoer, die een aanvaller zou kunnen misbruiken door een vervaardigd bestand naar het getroffen systeem te uploaden. Dit zou de aanvaller op zijn beurt in staat kunnen stellen commando-injectieaanvallen uit te voeren en zijn privileges als rootgebruiker te vergroten.
“Om deze kwetsbaarheid te misbruiken, moet de aanvaller netadmin-rechten hebben op het getroffen systeem”, voegde Cisco eraan toe. “Hiervoor zijn geldige inloggegevens of exploitatie van CVE-2026-20182 of CVE-2026-20127 vereist. Cisco is niet op de hoogte van succesvolle exploitatie via andere methoden.”
CVE-2026-20182 (CVSS-score: 10,0) werd vorige maand bekendgemaakt door Rapid7 en beschrijft het als een authenticatie-bypass waarmee niet-geverifieerde, externe aanvallers beheerdersrechten kunnen verkrijgen op gevoelige systemen. Er wordt ook beoordeeld dat het vergelijkbaar is met CVE-2026-20127, een ander geval van authenticatie-bypass met gevolgen voor hetzelfde onderdeel.
Beide kwetsbaarheden zijn in het wild uitgebuit als zero-days, waarbij een cluster van bedreigingsactiviteiten genaamd UAT-8616 al in 2023 verband hield met het misbruik van CVE-2026-20127.
In zijn donderdag vrijgegeven advies zei Cisco dat het beperkte gevallen heeft waargenomen waarin de exploitatie van CVE-2026-20245 resulteerde in een configuratiewijziging die naar edge-apparaten werd gepusht. Het heeft Google Mandiant-onderzoekers Chester Sng, Pete Boonyakarn en Logeswaran Nadarajan gecrediteerd voor het ontdekken en rapporteren van de nieuwe kwetsbaarheid. Het is onbekend wie er achter de laatste exploitatie-inspanningen zit.
Er zijn momenteel geen patches of oplossingen beschikbaar voor CVE-2026-20245. Klanten wordt aangeraden hun SD-WAN-software te upgraden om er zeker van te zijn dat ze de fixes hebben toegepast die op 14 mei 2026 voor CVE-2026-20182 zijn uitgebracht.
Cisco heeft ook gewaarschuwd dat systemen die aan internet zijn blootgesteld een groter risico lopen op compromittering. Om te zoeken naar indicatoren van compromissen (IoC’s), wordt gebruikers geadviseerd om het bestand “/var/log/scripts.log” te controleren op vermeldingen zoals hieronder:
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
Jun 5 13:06:39 Manager vScript: vSmart upload serial numbers: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
Jun 5 13:08:47 Validator vScript: ZTP upload chassis numbers: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csvCVE-2026-20245 is de zevende fout die gevolgen heeft voor Cisco SD-WAN en die alleen al dit jaar wordt gemarkeerd als actief misbruikt, na CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 en CVE-2022-20775.
De onthulling komt dagen nadat Cisco een ander ernstig beveiligingslek in Unified Communications Manager (CVE-2026-20230, CVSS-score: 8,6) heeft aangepakt, waarvoor volgens het bedrijf een proof-of-concept exploitcode openbaar is. Er zijn geen aanwijzingen dat er actief misbruik is gemaakt van de kwetsbaarheid.
