Cisco memperingatkan bahwa kelemahan penting dalam otentikasi Pengontrol SD-WAN Catalyst, yang dilacak sebagai CVE-2026-20182, secara aktif dieksploitasi dalam serangan zero-day yang memungkinkan penyerang mendapatkan hak administratif pada perangkat yang disusupi.
CVE-2026-20182 memiliki tingkat keparahan maksimum 10,0 dan berdampak pada Cisco Catalyst SD-WAN Controller dan Cisco Catalyst SD-WAN Manager dalam penerapan on-prem dan SD-WAN Cloud.
Dalam sebuah peringatan yang diterbitkan hari ini, Cisco mengatakan masalah ini berasal dari mekanisme otentikasi peering yang “tidak berfungsi dengan baik.”
“Kerentanan ini muncul karena mekanisme otentikasi peering dalam sistem yang terkena dampak tidak berfungsi dengan baik. Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan yang dibuat ke sistem yang terkena dampak,” demikian bunyi pernyataan tersebut. Penasihat Cisco CVE-2026-20182.
“Eksploitasi yang berhasil dapat memungkinkan penyerang untuk masuk ke Pengontrol SD-WAN Cisco Catalyst yang terpengaruh sebagai akun pengguna internal, dengan hak istimewa tinggi, dan non-root. Dengan menggunakan akun ini, penyerang dapat mengakses NETCONF, yang kemudian memungkinkan penyerang memanipulasi konfigurasi jaringan untuk struktur SD-WAN.”
Cisco Catalyst SD-WAN adalah platform jaringan berbasis perangkat lunak yang menghubungkan kantor cabang, pusat data, dan lingkungan cloud melalui sistem yang dikelola secara terpusat. Ia menggunakan pengontrol untuk merutekan lalu lintas antar situs dengan aman melalui koneksi terenkripsi.
Perusahaan mengatakan mereka mendeteksi pelaku ancaman yang mengeksploitasi kelemahan tersebut pada bulan Mei, namun tidak memberikan rincian apa pun mengenai cara eksploitasinya.
Namun, indikator kompromi bersama (IOC) memperingatkan admin untuk memeriksa peristiwa peering yang tidak sah di log Pengontrol SD-WAN, yang dapat mengindikasikan upaya untuk mendaftarkan perangkat jahat dalam struktur SD-WAN.
Dengan menambahkan rekan jahat, penyerang dapat memasukkan perangkat berbahaya ke dalam lingkungan SD-WAN yang tampaknya sah. Perangkat tersebut kemudian dapat membuat koneksi terenkripsi dan mengiklankan jaringan di bawah kendali penyerang, sehingga berpotensi memungkinkan mereka untuk masuk lebih dalam ke jaringan organisasi.
Cacatnya adalah ditemukan oleh Rapid7 saat meneliti kerentanan pengontrol Cisco SD-WAN yang berbeda, dilacak sebagai CVE-2026-20127yang diperbaiki pada bulan Februari.
CVE-2026-20127 tadinya juga dieksploitasi dalam serangan zero-day oleh aktor ancaman yang dilacak sebagai “UAT-8616” sejak tahun 2023 untuk menciptakan rekan jahat di organisasi.
Cisco telah merilis pembaruan keamanan untuk mengatasi kerentanan tersebut dan mengatakan tidak ada solusi yang dapat sepenuhnya memitigasi masalah ini.
Perusahaan juga merekomendasikan untuk membatasi akses ke manajemen SD-WAN dan antarmuka bidang kendali hanya pada jaringan internal tepercaya atau hanya pada alamat IP resmi, dan meninjau log autentikasi untuk aktivitas login yang mencurigakan.
CISA telah menambahkan kelemahan Cisco CVE-2026-20182 ke dalam Katalog Kerentanan yang Dieksploitasi yang Diketahuimemerintahkan lembaga federal untuk melakukan patch pada perangkat yang terkena dampak paling lambat tanggal 17 Mei 2026.
Indikator kompromi
Cisco mendesak organisasi untuk meninjau log dari sistem Pengontrol SD-WAN Catalyst yang terekspos internet untuk mengetahui kejadian yang mungkin mengindikasikan akses tidak sah atau kejadian peering.
Perusahaan mengatakan bahwa admin harus meninjau /var/log/auth.log untuk entri yang menampilkan “Kunci publik yang diterima untuk vmanage-admin” dari alamat IP yang tidak dikenal:
2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]
Administrator harus membandingkan alamat IP dalam log dengan IP Sistem yang dikonfigurasi yang tercantum di UI web Cisco Catalyst SD-WAN Manager, di bawah UI Web > Perangkat > IP Sistem.
Jika alamat IP yang tidak dikenal berhasil diautentikasi, administrator harus mempertimbangkan perangkat tersebut telah disusupi dan membuka kasus Cisco TAC.
Cisco juga merekomendasikan peninjauan log Pengontrol SD-WAN untuk mengetahui aktivitas peering yang tidak sah, karena penyerang mungkin mencoba mendaftarkan perangkat jahat dalam struktur SD-WAN.
Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005
Cisco sangat menyarankan untuk melakukan upgrade ke rilis perangkat lunak tetap, karena ini adalah satu-satunya cara untuk sepenuhnya memulihkan CVE-2026-20182.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
