Organisaties wereldwijd zijn aangevallen via een kritieke kwetsbaarheid in de Cisco Catalyst SD-WAN Controller, zo waarschuwen de Amerikaanse geheime dienst NSA, alsmede andere overheidsinstanties uit de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland. Cisco heeft vandaag updates beschikbaar gesteld om het probleem te verhelpen, maar de aanvallen vinden al sinds 2023 plaats, aldus Cisco in een blogposting.

De Cisco Catalyst SD-WAN Controller is een oplossing waarmee organisaties hun netwerk kunnen beheren en meerdere internetverbindingen gebruiken. De kritieke kwetsbaarheid in het product, CVE-2026-20127, maakt het mogelijk voor een ongeauthenticeerde remote aanvaller om de authenticatie te omzeilen en adminrechten op het systeem te krijgen. Hiervoor volstaat het versturen van speciaal geprepareerde requests naar kwetsbare appliances. Vervolgens kan de aanvaller de netwerkconfiguratie aanpassen.

De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Bij de aanvallen zouden de aanvallers een software-downgrade hebben uitgevoerd om rootrechten te krijgen. Daarbij werd de downgrade naar een kwetsbare versie uitgevoerd, om vervolgens een oude kwetsbaarheid te kunnen gebruiken waarmee rootrechten werden verkregen, waarna de originele softwareversie werd hersteld.

Cisco heeft updates uitgebracht om het probleem te verhelpen. Alleen voor versie 20.9 zal naar verwachting op 27 februari de patch pas verschijnen. Volgens Cisco maken aanvallers al sinds 2023 misbruik van CVE-2026-20127 en de diensten van de Five Eyes-landen stellen dat organisaties wereldwijd zijn aangevallen. Organisaties worden opgeroepen om hun SD-WAN-omgevingen te onderzoeken op misbruik, de beschikbare updates te installeren en het systeem verder te hardenen.