Cisco waarschuwt voor een actief misbruikte kwetsbaarheid in de Catalyst SD-WAN Controller waardoor een ongeauthenticeerde aanvaller admin-toegang tot het systeem kan krijgen. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. Het Nationaal Cyber Security Centrum (NCSC) verwacht dat erop korte termijn een toename in scan- en misbruikverkeer zal plaatsvinden.

De Cisco Catalyst SD-WAN Controller is een oplossing waarmee organisaties hun netwerk kunnen beheren en meerdere internetverbindingen gebruiken. Begin dit jaar werd er gewaarschuwd voor een andere kwetsbaarheid in het product dat al jaren werd gebruikt om organisaties wereldwijd mee aan te vallen. Cisco kwam op 25 februari met updates voor dit lek, maar stelde dat misbruik al sinds 2023 plaatsvond. De nieuwste kwetsbaarheid in de Catalyst SD-WAN Controller wordt aangeduid als CVE-2026-20182. Het gaat om een beveiligingslek in de 'peering authentication' van de SD-WAN Controller.

Volgens Cisco werkt het authenticatiemechanisme niet goed. Door een speciaal geprepareerd request naar een kwetsbaar systeem te sturen kan een ongeauthenticeerde aanvaller de authenticatie omzeilen en admin-toegang tot het systeem krijgen. De kwetsbaarheid werd op 9 maart dit jaar door securitybedrijf Rapid7 aan Cisco gerapporteerd. Het netwerkbedrijf maakte op 24 april aan Rapid7 bekend in welke versienummers het probleem zou zijn verholpen. Cisco besloot de openbaarmaking van de kwetsbaarheid uit te stellen naar 14 mei, aldus de tijdlijn van Rapid7.

In het eigen beveiligingsbulletin meldt Cisco dat het in mei ontdekte dat aanvallers misbruik van CVE-2026-20182 maken. Er zijn Indicators of Compromise gepubliceerd waarmee organisaties kunnen kijken of hun systemen zijn gecompromitteerd. Het NCSC verwacht op korte termijn een toename in scan- en misbruikverkeer waarbij aanvallers naar kwetsbare systemen zoeken en die proberen te hacken.