Cisco telah merilis pembaruan keamanan untuk mengatasi kerentanan di Catalyst SD-WAN Manager, yang dilacak sebagai CVE-2026-20262, yang dieksploitasi dalam serangan untuk meningkatkan hak akses root.
Sebelumnya dikenal sebagai SD-WAN vManage, perangkat lunak manajemen jaringan ini memungkinkan admin mengelola hingga 6.000 perangkat SD-WAN dari satu dasbor.
Kelemahan keamanan zero-day yang kini telah ditambal memengaruhi semua jenis penerapan, apa pun konfigurasi perangkatnya, termasuk penerapan di lokasi, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed), dan Cisco SD-WAN for Government (FedRAMP).
Cisco mengatakan masalah ini berasal dari kurangnya validasi masukan yang diberikan pengguna selama pengunggahan file, yang memungkinkan penyerang jarak jauh dengan hak istimewa rendah untuk mengeksekusi perintah sewenang-wenang sebagai root dengan mengirimkan permintaan HTTP yang dibuat ke titik akhir API yang terpengaruh.
“Kerentanan di UI web Cisco Catalyst SD-WAN Manager, sebelumnya SD-WAN vManage, dapat memungkinkan penyerang jarak jauh yang diautentikasi membuat file atau menimpa file apa pun di sistem file sistem yang terpengaruh,” kata Cisco dalam sebuah pernyataan. nasihat hari Senin.
“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan HTTP yang dibuat ke titik akhir API yang terpengaruh pada sistem yang terpengaruh. Eksploitasi yang berhasil dapat memungkinkan penyerang membuat atau menimpa file apa pun pada sistem operasi yang mendasarinya. File ini nantinya dapat digunakan untuk di-root.”
Cisco mengatakan Tim Respons Insiden Keamanan Produk (PSIRT) menyadari eksploitasi CVE-2026-20262 awal bulan ini dan “sangat” menyarankan pelanggan untuk melakukan patch pada sistem mereka.
| Rilis Cisco Catalyst SD-WAN | Rilis Tetap Pertama |
|---|---|
| 20.9.9.1 dan sebelumnya | 20.9.9.2 |
| 20.12.7.1 dan sebelumnya | 20.12.7.2 |
| 20.15.4.4 dan sebelumnya | 20.15.4.5 |
| 20.15.5.2 dan sebelumnya | 20.15.5.3 |
| 20.18.3 | 20.18.3.1 |
| 26.1.1.1 dan sebelumnya | 26.1.1.2 |
Meskipun perusahaan tidak membagikan rincian apa pun tentang serangan ini, perusahaan tersebut membagikan indikator kompromi (IOC) yang memperingatkan admin untuk memeriksa server vmanage SD-WAN, vmanage-appserver, dan log akses proksi layanan untuk upaya mengunggah file index.jsp dan .war.
Pada bulan Februari, Cisco menambal kelemahan keamanan pengungkapan informasi Catalyst SD-WAN Manager lainnya (CVE-2026-20133), yang ditandai sebagai dieksploitasi secara aktif pada akhir April, dan, dua minggu kemudian, diperingatkan akan adanya dua kelemahan lagi (CVE-2026-20128 dan CVE-2026-20122)yang disalahgunakan di alam liar.
Bulan lalu, itu juga menandai a cacat bypass autentikasi Pengontrol SD-WAN Catalyst dengan tingkat keparahan maksimum (CVE-2026-20182) secara aktif dieksploitasi seperti zero-day untuk mendapatkan hak istimewa admin pada perangkat yang belum dipatch.
Baru-baru ini, pada awal Juni, Cisco memperingatkan tentang satu lagi zero-day Catalyst SD-WAN Manager yang belum ditambal (CVE-2026-20245) yang dieksploitasi dalam serangan, memungkinkan penyerang mendapatkan hak akses root.
Selama beberapa tahun terakhir, Badan Keamanan Siber dan Infrastruktur (CISA) menandai 91 kerentanan Cisco seperti yang disalahgunakan di alam liar, lima di antaranya di Cisco Catalyst SD-WAN Manager dan enam lainnya dieksploitasi dalam serangan ransomware.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
