SD-WAN CVE-2026-20127 kwetsbaarheid

Er is een beveiligingslek met de hoogste ernstgraad, aangeduid als CVE-2026-20127 (CVSS-score: 10.0), ontdekt in Cisco Systems Cisco Catalyst SD-WAN Controller en Cisco Catalyst SD-WAN Manager. Dit lek stelt een niet-geauthenticeerde externe aanvaller in staat om authenticatiecontroles te omzeilen en beheerdersrechten te verkrijgen door een speciaal geconstrueerd verzoek naar een kwetsbaar systeem te sturen.

Het probleem komt voort uit een fout in het authenticatiemechanisme voor peering, waardoor een aanvaller kan inloggen als een interne gebruiker met hoge privileges die geen root-toegang heeft. Met dit toegangsniveau kunnen aanvallers NETCONF-services manipuleren en SD-WAN-fabricconfiguraties aanpassen, waardoor de integriteit en beschikbaarheid van bedrijfsnetwerken mogelijk in gevaar komen.

Betrokken implementatiemodellen

De kwetsbaarheid treft meerdere implementatiemodellen, ongeacht de configuratie:

• On-premise implementaties
• Cisco Hosted SD-WAN Cloud
• Cisco Hosted SD-WAN Cloud – Cisco Managed
• Cisco Hosted SD-WAN Cloud – FedRAMP-omgeving

Systemen die aan het openbare internet zijn blootgesteld, met name systemen met open poorten, lopen een aanzienlijk verhoogd risico op inbreuken.

Actieve exploitatie en activiteiten van dreigingsactoren

Beveiligingsonderzoekers hebben bevestigd dat er al sinds 2023 sprake is van actieve exploitatie. De campagne wordt gevolgd onder de aanduiding UAT-8616 en wordt beschouwd als een zeer geavanceerd dreigingscluster. Bewijs wijst erop dat de groep deze zero-day-kwetsbaarheid heeft gebruikt om Cisco SD-WAN-omgevingen te infiltreren en permanent verhoogde toegang te verkrijgen.

De aanvalsmethode omvat het creëren van een malafide peer die zich aansluit bij het SD-WAN-beheer- of controlevlak. Dit kwaadwillige apparaat doet zich voor als een legitiem, maar tijdelijk SD-WAN-onderdeel, waardoor vertrouwde interacties binnen de beheerinfrastructuur mogelijk worden.

Na een eerste inbreuk op een internetapplicatie hebben aanvallers het ingebouwde updatemechanisme misbruikt om softwareversies te downgraden. Deze downgrade maakt het mogelijk om CVE-2022-20775 (CVSS-score: 7,8) te exploiteren, een ernstige kwetsbaarheid voor privilege-escalatie in de Cisco SD-WAN Software CLI. Zodra rootrechten zijn verkregen, herstellen de aanvallers het systeem naar de oorspronkelijke softwareversie om detectie te minimaliseren.

De acties die na het compromis zijn ondernomen en die aan UAT-8616 worden toegeschreven, omvatten:

• Het aanmaken van lokale gebruikersaccounts die ontworpen zijn om op legitieme accounts te lijken.
• Invoegen van geautoriseerde SSH-sleutels voor root-toegang en wijzigen van SD-WAN-opstartscripts

• Gebruik van NETCONF via poort 830 en SSH voor laterale verplaatsing binnen het beheervlak.

• Manipulatie van logbestanden, waaronder het verwijderen van bestanden onder /var/log, de opdrachtgeschiedenis en netwerkverbindingsgegevens.

Deze activiteit weerspiegelt een bredere trend waarbij geavanceerde spelers zich richten op infrastructuur aan de rand van netwerken om duurzame posities te verwerven in waardevolle omgevingen, waaronder kritieke infrastructuursectoren.

Richtlijnen voor het herstellen en repareren van beveiligingslekken

Cisco heeft patches uitgebracht voor meerdere softwareversies. Organisaties die kwetsbare versies gebruiken, moeten upgraden naar de gecorrigeerde versies, waaronder:

• Versies ouder dan 20.9.1: migreer naar een gecorrigeerde release.
• 20.9: upgrade naar 20.9.8.2
• 20.11.1: upgrade naar 20.12.6.1
• 20.12.5: upgrade naar 20.12.5.3
• 20.12.6: upgrade naar 20.12.6.1
• 20.13.1, 20.14.1, 20.15: upgrade naar 20.15.4.2
• 20.16.1 en 20.18: upgrade naar 20.18.2.1

Naast het toepassen van patches, dienen organisaties ook forensisch onderzoek uit te voeren. Aanbevolen acties omvatten het controleren van het bestand /var/log/auth.log op vermeldingen met de tekst 'Accepted publickey for vmanage-admin' afkomstig van onbekende IP-adressen. Verdachte IP-adressen dienen te worden vergeleken met de geconfigureerde systeem-IP-adressen die worden weergegeven in de Cisco Catalyst SD-WAN Manager webinterface onder Apparaten > Systeem-IP.

Om mogelijke downgrades of onverwachte herstarts te detecteren, dienen de volgende logbestanden te worden geanalyseerd:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Federale mandaten en reactie van regelgevende instanties

Naar aanleiding van bevestigde misbruiken heeft het Cybersecurity and Infrastructure Security Agency (CISA) zowel CVE-2026-20127 als CVE-2022-20775 toegevoegd aan de catalogus van bekende misbruikte kwetsbaarheden (Known Exploited Vulnerabilities, KEV). Federale overheidsinstanties zijn verplicht deze kwetsbaarheden binnen 24 uur te verhelpen.

CISA heeft ook noodrichtlijn 26-03 uitgevaardigd, getiteld 'Kwetsbaarheden in Cisco SD-WAN-systemen beperken'. Deze richtlijn verplicht federale instanties om alle relevante SD-WAN-systemen te inventariseren, beveiligingsupdates toe te passen en te controleren op mogelijke inbreuken.

Om aan de nalevingstermijnen te voldoen, moeten instanties het volgende doen:

• Dien vóór 26 februari 2026, 23:59 uur ET, een catalogus in van alle relevante SD-WAN-systemen.
• Lever uiterlijk 5 maart 2026 om 23:59 uur ET een gedetailleerde inventarisatie aan van de getroffen producten en de genomen herstelmaatregelen.
• Rapporteer alle maatregelen ter versterking van het milieu vóór 26 maart 2026, 23:59 uur ET.

Deze ontwikkelingen onderstrepen de dringende noodzaak van proactief patchbeheer, continue monitoring en het versterken van de netwerkinfrastructuur aan de rand van het netwerk om geavanceerde persistente dreigingen gericht op SD-WAN-omgevingen te beperken.