Een onlangs onthulde beveiligingsfout met de hoogste ernst in Cisco Catalyst SD-WAN Controller (voorheen vSmart) en Catalyst SD-WAN Manager (voorheen vManage) is in het wild actief uitgebuit als onderdeel van kwaadaardige activiteiten die dateren uit 2023.
De kwetsbaarheid, bijgehouden als CVE-2026-20127 (CVSS-score: 10,0), stelt een niet-geverifieerde externe aanvaller in staat de authenticatie te omzeilen en beheerdersrechten op het getroffen systeem te verkrijgen door een vervaardigd verzoek naar een getroffen systeem te sturen.
Succesvol misbruik van de fout zou de tegenstander in staat kunnen stellen verhoogde bevoegdheden op het systeem te verkrijgen als een intern, niet-rootgebruikersaccount met hoge bevoegdheden.
“Deze kwetsbaarheid bestaat omdat het peering-authenticatiemechanisme in een getroffen systeem niet goed werkt”, zei Cisco in een advies, eraan toevoegend dat de bedreigingsacteur het niet-rootgebruikersaccount zou kunnen gebruiken om toegang te krijgen tot NETCONF en de netwerkconfiguratie voor de SD-WAN-infrastructuur te manipuleren.
De tekortkoming is van invloed op de volgende implementatietypen, ongeacht de apparaatconfiguratie:
- Implementatie op locatie
- Cisco gehoste SD-WAN-cloud
- Cisco gehoste SD-WAN-cloud – Cisco beheerd
- Cisco gehoste SD-WAN-cloud – FedRAMP-omgeving
Cisco heeft het Australian Cyber Security Centre (ASD-ACSC) van het Australian Signals Directorate gecrediteerd voor het melden van de kwetsbaarheid. De grote netwerkapparatuur volgt de exploitatie en de daaropvolgende post-compromisactiviteiten onder de naam UAT-8616, en beschrijft het cluster als een “zeer geavanceerde cyberdreigingsacteur.”
Het beveiligingslek is verholpen in de volgende versies van Cisco Catalyst SD-WAN:
- Vóór versie 20.91: Migreer naar een vaste release.
- Versie 20.9 – 20.9.8.2 (geschatte release 27 februari 2026)
- Versie 20.111 – 20.12.6.1
- Versie 20.12.5 – 20.12.5.3
- Versie 20.12.6 – 20.12.6.1
- Versie 20.131 – 20.15.4.2
- Versie 20.141 – 20.15.4.2
- Versie 20.15 – 20.15.4.2
- Versie 20.161 – 20.18.2.1
- Versie 20.18 – 20.18.2.1
“Cisco Catalyst SD-WAN Controller-systemen die zijn blootgesteld aan internet en waarvan poorten zijn blootgesteld aan internet lopen het risico te worden blootgesteld aan compromissen”, waarschuwde Cisco.
Het bedrijf heeft klanten ook aanbevolen om het bestand “/var/log/auth.log” te controleren op vermeldingen gerelateerd aan “Geaccepteerde openbare sleutel voor vmanage-admin” van onbekende of ongeautoriseerde IP-adressen. Het is ook raadzaam om de IP-adressen in het auth.log-logbestand te vergelijken met de geconfigureerde systeem-IP’s die worden vermeld in de webinterface van Cisco Catalyst SD-WAN Manager (WebUI > Apparaten > Systeem-IP).
Volgens informatie vrijgegeven door de ASD-ACSC zou UAT-8616 sinds 2023 Cisco SD-WAN’s hebben gecompromitteerd via de zero-day exploit, waardoor het verhoogde toegang kon verkrijgen.
“Dankzij de kwetsbaarheid kon een kwaadwillende cyberacteur een kwaadwillige peer creëren die zich had aangesloten op het netwerkbeheervlak of controlevlak van het SD-WAN van een organisatie”, aldus ASD-ACSC. “Het frauduleuze apparaat verschijnt als een nieuwe maar tijdelijke, door een actor bestuurde SD-WAN-component die vertrouwde acties kan uitvoeren binnen het beheer- en controlevlak.”
Nadat ze met succes een openbare applicatie hadden gecompromitteerd, bleken de aanvallers gebruik te maken van het ingebouwde updatemechanisme om een softwareversie te downgraden en te escaleren naar de rootgebruiker door misbruik te maken van CVE-2022-20775 (CVSS-score: 7,8), een zeer ernstige privilege-escalatiebug in de CLI van Cisco SD-WAN Software, en vervolgens de software terug te zetten naar de versie waarop deze oorspronkelijk draaide.
Enkele van de daaropvolgende stappen die door de bedreigingsacteur worden geïnitieerd, zijn als volgt:
- Lokale gebruikersaccounts gemaakt die andere lokale gebruikersaccounts nabootsten.
- Een geautoriseerde Secure Shell Protocol (SSH)-sleutel toegevoegd voor root-toegang en aangepaste SD-WAN-gerelateerde opstartscripts om de omgeving aan te passen.
- Gebruikt Network Configuration Protocol op poort 830 (NETCONF) en SSH om verbinding te maken met/tussen Cisco SD-WAN-apparaten binnen het beheervlak.
- Er zijn stappen ondernomen om het bewijs van de inbraak te verwijderen door de logboeken onder “/var/log”, de opdrachtgeschiedenis en de netwerkverbindingsgeschiedenis te verwijderen.
“De poging tot uitbuiting van UAT-8616 duidt op een aanhoudende trend van het aanvallen van netwerkrandapparaten door cyberbedreigingsactoren die hardnekkige voet aan de grond willen krijgen in hoogwaardige organisaties, waaronder sectoren van kritieke infrastructuur (CI), ” zei Talos.
De ontwikkeling heeft de Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om zowel CVE-2022-20775 als CVE-2026-20127 toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor de Federal Civilian Executive Branch (FCEB)-agentschappen de opdracht krijgen om de oplossingen binnen de komende 24 uur toe te passen.
Om te controleren op versiedowngrades en onverwachte herstartgebeurtenissen, raadt CISA aan de volgende logboeken te analyseren:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
CISA heeft ook een nieuwe noodrichtlijn uitgevaardigd, 26-03: Mitigate Vulnerabilities in Cisco SD-WAN Systems, als onderdeel van welke federale instanties verplicht zijn SD-WAN-apparaten te inventariseren, updates toe te passen en potentiële compromissen te beoordelen.
Daartoe hebben agentschappen de opdracht gekregen om vóór 26 februari 2026, 23:59 uur ET, een catalogus aan te bieden van alle betrokken SD-WAN-systemen op hun netwerken. Bovendien zijn ze verplicht om vóór 5 maart 2026, 23:59 uur ET, een gedetailleerde inventaris in te dienen van alle producten die binnen de scope vallen en de ondernomen acties. Ten slotte zullen de agentschappen vóór 26 maart 2026, 23:59 uur ET, de lijst moeten indienen met alle stappen die zijn genomen om hun omgeving te verharden.
