Het Nationaal Cyber Security Centrum (NCSC) verwacht grootschalig misbruik van een kritieke kwetsbaarheid in Cisco Catalyst SD-WAN Controller en Cisco Catalyst SD-WAN Manager en roept organisaties op om de beschikbaar gestelde update zo snel mogelijk te installeren. Gisteren maakte Cisco bekend dat aanvallers het beveiligingslek al drie jaar lang onopgemerkt bij aanvallen hebben misbruikt.

Organisaties gebruiken de Cisco Catalyst SD-WAN Controller en Manager voor het beheren van hun netwerken. Een kritieke kwetsbaarheid (CVE-2026-20127) zorgt ervoor dat een ongeauthenticeerde aanvaller de authenticatie kan omzeilen en admin-toegang tot het systeem kan krijgen. Vervolgens voert de aanvaller een downgrade van de softwareversie uit, zodat er een kwetsbare versie draait. Via deze kwetsbare versie weet de aanvaller vervolgens root te worden. Hierna herstelt de aanvaller de oorspronkelijke versie, maar heeft op dat moment nog steeds rootrechten en zo volledige controle over het systeem.

Volgens Cisco wordt het beveiligingslek al sinds 2023 bij aangevallen ingezet. Cyberagentschappen uit de Five Eyes-landen en de Amerikaanse geheime dienst NSA stellen dat organisaties wereldwijd zijn aangevallen, waarbij specifiek multinationals worden genoemd. Het NCSC verwacht op korte termijn dat publieke proof-of-concept exploitcode verschijnt en dat dit zal leiden tot grootschalig misbruik van CVE-2026-20127. De overheidsinstantie adviseert met klem om de update zo spoedig mogelijk te installeren.

Het Britse National Cyber Security Centre (NCSC) stelt dat Cisco Catalyst SD-WAN's waarvan de management-interface toegankelijk is vanaf het internet het grootste risico lopen. "Management-interfaces moeten nooit zijn blootgesteld aan het internet", zo adviseert het Britse NCSC.