Organisaties wereldwijd zijn aangevallen via een kritieke kwetsbaarheid in de Cisco Catalyst SD-WAN Controller, zo waarschuwen de Amerikaanse geheime dienst NSA, alsmede andere overheidsinstanties uit de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland. Cisco heeft vandaag updates beschikbaar gesteld om het probleem te verhelpen, maar de aanvallen vonden al voor het verschijnen van de patches plaats.
De Cisco Catalyst SD-WAN Controller is een oplossing waarmee organisaties hun netwerk kunnen beheren en meerdere internetverbindingen gebruiken. De kritieke kwetsbaarheid in het product, CVE-2026-20127, maakt het mogelijk voor een ongeauthenticeerde remote aanvaller om de authenticatie te omzeilen en adminrechten op het systeem te krijgen. Hiervoor volstaat het versturen van speciaal geprepareerde requests naar kwetsbare appliances. Vervolgens kan de aanvaller de netwerkconfiguratie aanpassen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.
Cisco heeft updates uitgebracht om het probleem te verhelpen. Alleen voor versie 20.9 zal naar verwachting op 27 februari de patch pas verschijnen. Sinds wanneer aanvallers misbruik maken van CVE-2026-20127 is onbekend, maar diensten van de Five Eyes-landen stellen dat organisaties wereldwijd zijn aangevallen. Organisaties worden opgeroepen om hun SD-WAN-omgevingen te onderzoeken op misbruik, de beschikbare updates te installeren en het systeem verder te hardenen.
