Pada hari Kamis, Cisco memperingatkan adanya zero-day dengan tingkat keparahan tinggi yang belum ditambal di Cisco Catalyst SD-WAN Manager (dilacak sebagai CVE-2026-20245) dieksploitasi secara aktif dalam serangan yang memungkinkan peningkatan hak akses root.
Cacat zero-day berdampak pada semua jenis penerapan, termasuk Penerapan On-Prem, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed), dan Cisco SD-WAN for Government (FedRAMP).
Dalam peringatan hari Kamis, Cisco mengatakan masalah ini berasal dari kurangnya validasi input yang diberikan pengguna, dan hal ini dapat memungkinkan penyerang lokal dengan hak istimewa rendah untuk mengeksekusi perintah sewenang-wenang sebagai root.
“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan mengunggah file buatan ke sistem yang terkena dampak. Eksploitasi yang berhasil dapat memungkinkan penyerang melakukan serangan injeksi perintah pada sistem yang terpengaruh dan meningkatkan hak istimewa mereka sebagai pengguna root,” perusahaan menjelaskan.
Cisco tidak mengetahui keberhasilan eksploitasi dengan metode lain, tambahnya. “Cisco tidak menyadari keberhasilan eksploitasi dengan metode lain. Cisco telah mengamati kasus-kasus terbatas di mana eksploitasi bug ini mengakibatkan perubahan konfigurasi yang diterapkan pada perangkat edge.”
Sebelumnya dikenal sebagai SD-WAN vManage, perangkat lunak manajemen jaringan ini membantu admin memantau dan mengelola hingga 6.000 perangkat Catalyst SD-WAN dari satu dasbor.
Tim Respons Insiden Keamanan Produk (PSIRT) Cisco menyadari eksploitasi CVE-2026-20245 pada bulan Juni setelah anak perusahaan keamanan siber Google Cloud, Mandiant, melaporkan kelemahan tersebut tetapi tidak memberikan rincian apa pun.
Namun, indikator kompromi (IOC) yang dibagikan memperingatkan admin untuk memeriksa file SD-WAN /var/log/scripts.log mereka untuk mengetahui upaya mengunggah data konfigurasi penyewa ke pengontrol vSmart untuk meningkatkan hak istimewa melalui perintah yang sah, seperti dalam contoh berikut:
Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
“Untuk membantu menentukan apakah Cisco Catalyst SD-WAN Manager telah disusupi, pelanggan dapat membuka kasus dengan Cisco TAC,” perusahaan menambahkan, menyarankan admin terlebih dahulu untuk kumpulkan file teknologi admin untuk membantu peninjauan.
Patch keamanan belum tersedia
Bulan lalu, Cisco juga menandai kelemahan bypass otentikasi Pengontrol SD-WAN Catalyst dengan tingkat keparahan maksimum (CVE-2026-20182) secara aktif dieksploitasi sebagai zero-day untuk mendapatkan hak administratif pada perangkat yang belum dipatch.
Meskipun Cisco belum merilis patch untuk CVE-2026-20245, Cisco menyarankan pelanggan untuk meningkatkan ke perangkat lunak yang diperbaiki untuk CVE-2026-20182 pada tanggal 14 Mei.
Pada bulan Februari, Cisco menambal kelemahan keamanan pengungkapan informasi Catalyst SD-WAN Manager lainnya (CVE-2026-20133), yang ditandai oleh CISA sebagai dieksploitasi secara aktif pada akhir April, dan, dua minggu kemudian, memperingatkan bahwa ada dua kelemahan lagi (CVE-2026-20128 dan CVE-2026-20122) disalahgunakan di alam liar.
Pada bulan Maret, mereka juga mengatasi dan menandai kerentanan bypass autentikasi yang kritis (CVE-2026-20127) yang telah dieksploitasi dalam serangan zero-day setidaknya sejak tahun 2023.
Selama beberapa tahun terakhir, CISA telah melakukannya menandai 90 kerentanan Cisco seperti yang disalahgunakan di alam liar, empat di antaranya di Cisco Catalyst SD-WAN Manager dan enam lainnya dieksploitasi oleh operasi ransomware.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
