Myndigheder advarer om flerårig udnyttelse af 0-dage i Cisco
Internationale myndigheder har offentliggjort nye tekniske detaljer om en global kampagne, hvor to 0-dagssårbarheder i Ciscos edge‑teknologi er blevet udnyttet siden mindst 2023. Aktiviteten er fortsat i gang, og både CISA og Five Eyes‑partnerne har udgivet advarsler og vejledninger til analyse og afhjælpning.
Det skriver Cyberscoop og en række andre medier.
To 0-dage i kædeudnyttelse
Kampagnen omfatter en udnyttelseskæde, hvor angriberen først omgår autentifikation via EUVD-2026-8675 / CVE‑2026‑20127. Når der er opnået adgang, nedgraderes systemet målrettet til en version, der er sårbar over for EUVD-2022-26025 / CVE‑2022‑20775, hvilket giver mulighed for at eskalere privilegier til root.
Ifølge forskere fra Rapid7 kræver denne metode specifik indsigt i Ciscos softwareversioner og patch‑historik, da nedgraderingen udgør et bevidst led i angrebet og ikke en tilfældig bivirkning af udnyttelsen. Kombinationen af kendt versionering og målrettede skridt efter kompromittering beskrives som struktureret frem for opportunistisk.
UAT‑8616 tilskrives aktiviteten
Cisco Talos tilskriver aktiviteten til trusselsaktøren UAT‑8616, som beskrives som teknisk avanceret. Ingen myndigheder har endnu peget på, om der står en stat bag angrebet, og der er heller ikke offentliggjort oplysninger om specifikke ofre. Myndigheder oplyser, at de stadig arbejder på afværgning og analyse af omfanget.
Ifølge CISA indeholder tilgængelige data indikationer på, at aktøren benytter sårbarhederne til at etablere vedvarende adgang til organisationer med høje værdiprofil, herunder kritisk infrastruktur. Myndighederne beskriver angrebet som en fortsættelse af en global tendens, hvor edge‑udstyr udnyttes som adgangsvektor.
Tidslinje: aktivitet før opdagelse
I en fælles Five Eyes‑analyse fremgår det, at CVE‑2026‑20127 blev identificeret som aktivt udnyttet i slutningen af 2025. Der er ikke offentliggjort forklaringer på, hvorfor der gik mindst to måneder mellem den interne bekræftelse og den officielle advisering.
Samtidig viser tekniske data, at udnyttelsen kan spores tilbage til 2023. Myndighederne har ikke delt yderligere detaljer om detektionsmetoder eller hvad der førte til opdagelsen.
CISA udsteder nyt nøddirektiv
CISA har udsendt et nøddirektiv, der pålægger føderale myndigheder i USA at:
- identificere alle berørte Cisco SD‑WAN‑enheder
- indsamle og analysere logs fra systemerne
- opdatere til Ciscos seneste sikkerhedsrettelser
- gennemføre hunting for tegn på kompromittering
- følge Ciscos tekniske vejledninger til afhjælpning
Begge sårbarheder er tilføjet CISA’s katalog over kendt udnyttede sårbarheder.
Paralleller til kampagnen offentliggjort i september
De nye oplysninger kommer mindre end et år efter, at Cisco og myndigheder advarede om en lignende kampagne, hvor mindst to 0-dage i Cisco edge‑udstyr var blevet udnyttet i over et år før opdagelse i maj. Der er ikke offentliggjort oplysninger om eventuelle forbindelser mellem de to kampagner, og Cisco har ikke kommenteret på dette.
Ifølge Cisco bør kunder opdatere til de anbefalede versioner og gennemføre de beskrevne undersøgelsestrin. I tilfælde, hvor kompromittering ikke kan udelukkes, anbefaler nogle sikkerhedsfirmaer fuld geninstallation af berørte systemer.
Læs mere
- https://cyberscoop.com/cisco-zero-days-cisa-emergency-directive-five-eyes/
- https://www.cisa.gov/news-events/alerts/2026/02/25/cisa-and-partners-release-guidance-ongoing-global-exploitation-cisco-sd-wan-systems
- https://www.helpnetsecurity.com/2026/02/25/cisco-sd-wan-zero-day-cve-2026-20127/
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk