Cisco waarschuwt voor een actief misbruikt beveiligingslek in Cisco Catalyst SD-WAN Manager waardoor een aanvaller met toegang tot het systeem willekeurige commando's als root kan uitvoeren. Er zijn updates uitgebracht om het probleem, aangeduid als CVE-2026-20245, te verhelpen. De Cisco Catalyst SD-WAN Manager is een oplossing waarmee organisaties Cisco SD-WAN kunnen uitrollen, configureren en beheren. SD-WAN staat voor Software-Defined Wide Area Network en is een oplossing waarmee organisaties netwerkinfrastructuur en -connectiviteit op meerdere locaties kunnen beheren.

Eerder dit jaar waarschuwde Cisco al voor misbruik van twee andere kwetsbaarheden in SD-WAN Manager (CVE-2026-20127 en CVE-2026-20182). Het nieuwste misbruikte beveiligingslek wordt veroorzaakt doordat het systeem gebruikersinvoer onvoldoende valideert. Een aanvaller kan een speciaal geprepareerd bestand naar het systeem uploaden. Dit zorgt ervoor dat er commando's als root kunnen worden uitgevoerd, waarmee er volledige controle over het systeem wordt verkregen.

Misbruik van CVE-2026-20245 vereist dat een aanvaller over netadmin-rechten beschikt. Dit kan door middel van het verkrijgen van geldige inloggegevens of misbruik van twee andere kwetsbaarheden (CVE-2026-20182 of CVE-2026-20127). Bij de aanvallen die Cisco heeft waargenomen werden configuratie-aanpassingen aan edge devices doorgevoerd. Organisaties worden opgeroepen om de beschikbaar gestelde updates te installeren. Tevens heeft Cisco Indicators of Compromise beschikbaar gesteld waarmee organisaties kunnen kijken of hun systemen zijn gecompromitteerd.

Securitybedrijf Rapid7 waarschuwde vorige maand dat SD-WAN-omgevingen interessant zijn voor aanvallers, omdat ze zo verkeer van de aangevallen organisatie kunnen herrouteren, communicatie onderscheppen en malafide configuraties doorvoeren. "Dat is de echte paradox hier. Dezelfde architectuur die verdedigers schaalbaarheid en eenvoud bied, kan aanvallers ook een toegangspunt bieden met catastrofale invloed."