Aktivt udnyttet 0-dagssårbarhed i Cisco SD‑WAN – ingen patch klar

Eskil Sørensen
06.08.2026 13:35
Cisco advarer om igangværende angreb mod Catalyst SD‑WAN Manager. Fejlen giver mulighed for root‑adgang og rammer alle deployment‑typer.

Cisco har udsendt en sikkerhedsadvisory om en alvorlig 0‑dagssårbarhed i Catalyst SD‑WAN Manager, som allerede bliver udnyttet i angreb. Sårbarheden har id'et EUVD-2026-34341 / CVE‑2026‑20245, er alvorlig med en CVSS-score på 7,8 og en EPSS på 0,08 pct. Der findes pt. endnu ingen patch.

Det skriver The Register.

Ifølge Cisco har udnyttelsen stået på i mindst en uge. Virksomheden har ikke oplyst, hvor udbredte angrebene er, eller hvornår en rettelse kan forventes.

Sårbarheden skyldes en valideringsfejl, hvor SD‑WAN‑softwaren ikke korrekt håndterer brugerleveret input. En autentificeret, lokal angriber kan uploade en specialfremstillet fil og derigennem eskalere privilegier og eksekvere kommandoer med root‑rettigheder.

Rammer alle miljøer

CVE‑2026‑20245 påvirker alle versioner af Catalyst SD‑WAN‑softwaren, uanset konfiguration. Det gælder både on‑premises‑installationer, cloud‑baserede miljøer og FedRAMP‑certificerede deployment‑typer. Der er dermed tale om en bredt eksponerende sårbarhed i et centralt administrationslag.

Cisco oplyser, at udnyttelse forudsætter netadmin‑rettigheder på det berørte system. Disse rettigheder kan opnås via kompromitterede legitimationsoplysninger eller ved misbrug af andre kendte sårbarheder i SD‑WAN‑miljøet. Cisco understreger, at virksomheden ikke er bekendt med vellykket udnyttelse via andre metoder.

Kravet om autentifikation reducerer risikoen, men eliminerer den ikke. Adgangsoplysninger til netværksudstyr er fortsat et attraktivt mål og handles rutinemæssigt i kriminelle miljøer.

Midlertidige anbefalinger

Der er på nuværende tidspunkt ingen specifik patch til CVE‑2026‑20245. Cisco anbefaler i stedet, at kunder opgraderer til den software, der blev udgivet i maj 2026 i forbindelse med en tidligere SD‑WAN‑sårbarhed, som en afbødende foranstaltning. CISCO oplyser, at en patch for sårbarheden vil blive leveret på et senere tidspunkt. 

The Register skriver, at sagen føjer sig til et fortsat pres på Cisco‑kunder, der anvender Catalyst SD‑WAN Manager, hvor management‑komponenten igen viser sig at være et attraktivt mål for angribere. Indtil en egentlig rettelse foreligger, må organisationer basere deres forsvar på begrænsning af administrative adgange, overvågning af management‑systemer og hurtig reaktion på tegn på kompromittering.

Læs mere

Sårbarhed