Kritisk Cisco SD‑WAN‑sårbarhed udnyttes aktivt

Den amerikanske cybersikkerhedsmyndighed CISA har føjet en Cisco sårbarhed til sit katalog over kendte udnyttede sårbarheder. Sårbarheden EUVD-2026-30324 / CVE-2026-20182 rammer Cisco Catalyst SD‑WAN Controller og har en CVSS‑score på 10.0.

Det skriver The Register og SC World.

Ifølge både Cisco og CISA bliver fejlen udnyttet aktivt, hvilket også afspejles i en høj EPSS-score på over 30 pct. 

Sårbarheden er en authentication bypass, der gør det muligt for en uautentificeret angriber at opnå administrative rettigheder på SD‑WAN‑controlleren. Fejlen skyldes en mangelfuld peering‑autentificeringsmekanisme. Når adgangen først er opnået, kan angriberen styre netværkets konfiguration via management‑planet, herunder routing, politikker og trafikstyring.

Cisco har oplyst, at udnyttelsen med høj grad af sikkerhed kan knyttes til UAT‑8616, en trusselsaktør med formodet kinesisk tilknytning, som har haft Cisco SD‑WAN‑miljøer i fokus siden mindst 2023. Sårbarheden blev identificeret under analyse af tidligere angreb mod samme produktlinje.

CISA har givet amerikanske føderale myndigheder ultrakorte tre dage til at afhjælpe problemet. Cisco har frigivet patches og oplyser, at der ikke findes workarounds.

Cisco anbefaler samtidig at gennemgå logs for tegn på kompromittering, herunder uventede login‑hændelser for administrative konti i /var/log/auth.log, særligt fra IP‑adresser, der ikke matcher kendte system‑IP’er i SD‑WAN‑miljøet.

SC World skriver, at sårbarheden er den seneste i rækken af alvorlige sårbarheder i SD‑WAN‑managementkomponenter og føjer sig til et mønster, hvor kontrol‑ og management‑planer er blevet attraktive mål for avancerede trusselsaktører.