Badan Keamanan Siber dan Infrastruktur AS (CISA) telah memberikan waktu empat hari kepada lembaga pemerintah untuk mengamankan sistem mereka dari kerentanan Catalyst SD-WAN Manager lainnya yang ditandai sebagai dieksploitasi secara aktif dalam serangan.
Catalyst SD-WAN Manager (sebelumnya dikenal sebagai vManage) adalah perangkat lunak manajemen jaringan yang membantu admin memantau dan mengelola hingga 6.000 perangkat Catalyst SD-WAN dari satu dasbor.
Cisco ditambal kerentanan keterbukaan informasi ini (CVE-2026-20133) pada akhir Februari, mengatakan bahwa hal itu memungkinkan penyerang jarak jauh yang tidak diautentikasi mengakses informasi sensitif pada perangkat yang belum ditambal.
“Kerentanan ini disebabkan oleh kurangnya pembatasan akses sistem file. Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengakses API dari sistem yang terpengaruh,” kata Cisco pada saat itu. “Eksploitasi yang berhasil memungkinkan penyerang membaca informasi sensitif pada sistem operasi yang mendasarinya.”
Satu minggu kemudian, perusahaan mengungkapkan bahwa dua kelemahan keamanan lainnya telah diperbaiki pada hari yang sama (CVE-2026-20128 dan CVE-2026-20122)sedang dieksploitasi di alam liar.
Badan-badan federal memerintahkan untuk menambal hingga hari Jumat
Pada hari Senin, CISA ditambahkan CVE-2026-20133 untuknya Katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahui“berdasarkan bukti eksploitasi aktif,” dan memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan jaringan mereka hingga Jumat, 24 April.
“Harap patuhi pedoman CISA untuk menilai paparan dan memitigasi risiko yang terkait dengan perangkat Cisco SD-WAN sebagaimana diuraikan dalam CISA’s Petunjuk Darurat 26-03 dan CISA Panduan Perburuan & Pengerasan untuk Perangkat Cisco SD-WAN,” kata CISA. “Patuhi panduan BOD 22-01 yang berlaku untuk layanan cloud atau hentikan penggunaan produk jika mitigasi tidak tersedia.”
Cisco belum mengkonfirmasi laporan badan keamanan siber AS bahwa kelemahan tersebut dieksploitasi dalam serangan, dan penasihat keamanannya masih mengatakan bahwa Tim Respons Insiden Keamanan Produk (PSIRT) “tidak mengetahui adanya pengumuman publik atau penggunaan jahat atas kerentanan yang dijelaskan dalam CVE-2026-20133.”
Pada bulan Februari, Cisco juga menandai kerentanan bypass otentikasi kritis (CVE-2026-20127) seperti yang dieksploitasi dalam serangan zero-day yang memungkinkan pelaku ancaman menambahkan rekan jahat yang berbahaya ke jaringan yang ditargetkan setidaknya sejak tahun 2023.
Baru-baru ini, pada awal Maret, perusahaan merilis pembaruan keamanan mengatasi dua kerentanan dengan tingkat keparahan maksimum dalam perangkat lunak Secure Firewall Management Center (FMC) yang memungkinkan penyerang mendapatkan akses root ke sistem operasi yang mendasarinya dan mengeksekusi kode Java arbitrer dengan hak akses root.
Selama beberapa tahun terakhir, CISA telah melakukannya menandai 91 kerentanan Cisco seperti yang dieksploitasi di alam liar, enam di antaranya telah digunakan oleh berbagai operasi ransomware.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
