Cisco dicht actief misbruikt Catalyst SD-WAN-lek dat aanvaller root maakt

In dit artikel:

Cisco heeft een beveiligingsupdate uitgebracht voor een ernstig lek (CVE-2026-20262) in de Catalyst SD‑WAN Manager waarmee een aanvaller met geldige inloggegevens root‑toegang kan krijgen. De kwetsbaarheid zit in de manier waarop bestanduploads worden gecontroleerd: een speciaal geconstrueerd HTTP‑verzoek kan elk bestand op het onderliggende systeem overschrijven of aanmaken, waardoor volledige controle mogelijk wordt.

Voor misbruik is wel vereist dat de aanvaller al geïdentificeerd is op het systeem (geauthenticeerd). Cisco meldt dat er deze maand sprake was van “beperkt misbruik”, zonder nadere details te geven. Systemen van Catalyst SD‑WAN Manager die rechtstreeks vanaf het internet bereikbaar zijn en waarvan managementpoorten openstaan lopen volgens Cisco een groter risico.

De SD‑WAN Manager wordt gebruikt om Cisco SD‑WAN uit te rollen en te beheren; beveiligingsonderzoekers zoals Rapid7 waarschuwen dat compromittering van dergelijke omgevingen extra impact heeft omdat aanvallers netwerktrafiek kunnen herleiden, communicatie kunnen onderscheppen of kwaadaardige configuraties kunnen doorvoeren. Aanbevolen maatregelen zijn het zo snel mogelijk toepassen van de update, managementinterfaces niet publiek toegankelijk maken, toegangsrechten beperken en sterke authenticatie afdwingen.