Ernstige kwetsbaarheid in SD-WAN controllers van Cisco

De Cisco Catalyst SD-WAN Controller en Manager zijn centrale onderdelen van Cisco's software-gedefinieerde WAN-architectuur. Ze zorgen samen voor het beheer, de beveiliging en de intelligente routing van netwerkverkeer over verschillende verbindingstypen zoals internet en 5G. 

Wat is het risico?

De kwetsbaarheden bieden de mogelijkheid van zogenoemde XXE-injectie, privilege-escalatie en authentication bypass. Het effect hiervan is dat aanvallers gevoelige bestanden van de server kunnen lezen. De authentication bypass-kwetsbaarheid bevindt zich in het peering authenticatiemechanisme waardoor niet-geauthenticeerde externe aanvallers verhoogde rechten kunnen verkrijgen. Hierdoor kunnen zij netwerkconfiguraties manipuleren en mogelijk netwerkoperaties verstoren. Deze kwetsbaarheid is bekend onder kenmerk CVE-2026-20182 en heeft een CVSS-score van 10. Dit is de maximale score.

Beperkt misbruik

Cisco meldt bekend te zijn met berichten dat de authentication bypass-kwetsbaarheid (CVE-2026-20182) beperkt en gericht is misbruikt. De verwachting van het NCSC is dat op korte termijn een toename in scan- en misbruikverkeer zal plaatsvinden.

Wat kun je doen?

Cisco heeft beveiligingsupdates uitgebracht om deze kwetsbaarheid te verhelpen. Ook heeft Cisco Indicators of Compromise (IoC's) beschikbaar gesteld om eventueel misbruik te detecteren. Voor de 3 gerelateerde kwetsbaarheden heeft Cisco ook updates beschikbaar. Als je niet zeker weet of je gebruikmaakt van een kwetsbare versie van deze producten, neem dan contact op met je IT-dienstverlener. Vraag hen om te controleren of de beveiligingsupdates zijn toegepast en om met de documentatie van Cisco te controleren of er misbruik heeft plaastgevonden.