Cisco heeft een kwetsbaarheid in SD-WAN Manager (voorheen vManage) verholpen die misbruik mogelijk maakt via het uploaden van een speciaal geprepareerd bestand. In combinatie met aanvullende fouten kon een aanvaller zo zijn rechten opkrikken tot root, met alle gevolgen van dien voor het beheer van de complete SD‑WAN‑omgeving. Cisco levert hiervoor updates; er zijn geen zinvolle workarounds behalve zo snel mogelijk upgraden. (sec.cloudapps.cisco.com)

Belangrijk detail: voor dit specifieke misbruikscenario zijn doorgaans netadmin‑rechten nodig op het getroffen systeem. Die kun je als aanvaller bemachtigen met geldige inloggegevens, of door eerst een authenticatie‑bypass te misbruiken. De afgelopen maanden kwamen daar meerdere gevallen van aan het licht, waaronder CVE‑2026‑20127 en CVE‑2026‑20182, die beheerrechten geven op de controller/manager zonder geldige login. Vervolgens kan een aanvaller via aanvullende bugs privileges verder verhogen tot root. (sec.cloudapps.cisco.com)

Dit past in een bredere aanvalsketen die Cisco en diverse security‑bedrijven sinds 2023 zien: een actor die door Cisco Talos wordt gevolgd als UAT‑8616 gebruikt een auth‑bypass voor initiële toegang, draait waar mogelijk kwetsbare versies terug (downgrade) en misbruikt daarna bekende privilege‑escalaties om root‑toegang te krijgen en configuraties door de hele fabric te pushen. (tenable.com)

Wat is er precies gefixt?

• In SD‑WAN Manager zaten meerdere zwaktes die samen impact hebben op rechten en bestandsbeheer, zoals een API‑kwetsbaarheid voor willekeurig overschrijven van bestanden (CVE‑2026‑20122) en lokale privilege‑escalatie naar root (CVE‑2026‑20126). Die combinatie verklaart waarom een “onschuldig” upload‑pad alsnog kan uitmonden in root‑toegang. Cisco heeft hiervoor gefixeerde releases beschikbaar gesteld binnen de gangbare 20.x‑releasetrains. (sec.cloudapps.cisco.com)

Hoe groot is het risico?

• Cisco bevestigt dat er actief misbruik plaatsvindt van de nieuwe en eerder gemelde SD‑WAN‑kwetsbaarheden. Toch geldt: als systemen al zijn bijgewerkt tegen de genoemde auth‑bypasses (CVE‑2026‑20127/20182) is de drempel voor misbruik een stuk hoger, omdat de aanvaller dan eerst aan geldige netadmin‑rechten moet komen. (thehackernews.com)

Praktische acties om nu te nemen

• Patch prioriteit 1: update SD‑WAN Manager/Controller onmiddellijk naar de door Cisco aangegeven vaste versies binnen jouw releasetrain. Plan dit buiten kantoortijd; er is geen betrouwbare tijdelijke mitigatie. (sec.cloudapps.cisco.com)
• Beperk toegang: zorg dat de management‑UI en -API alleen vanaf vertrouwde, interne IP’s bereikbaar zijn; voorkom internet‑exposure. (deepwatch.com)
• Controleer op tekenen van misbruik: valideer handmatig alle control‑plane peering events (met extra aandacht voor vManage‑peering) en bekijk authenticatielogs op afwijkende inlog‑ of peeringpogingen. (sec.cloudapps.cisco.com)
• Harden accounts en rollen: herzie wie netadmin is (die rol heeft volledige macht), zet MFA aan, roteer wachtwoorden en API‑tokens en verwijder oude service‑accounts. (cisco.com)
• Volg updates van autoriteiten: diverse kwetsbaarheden in SD‑WAN Manager zijn door toezichthouders en CERT’s als “actief misbruikt” aangemerkt en krijgen versnelde patchdeadlines. Neem hun guidance mee in je change‑proces. (sdxcentral.com)

Waarom dit ertoe doet
SD‑WAN‑beheer is het zenuwstelsel van je WAN. Wie daar binnenkomt met netadmin‑ of root‑rechten, kan routes en policies aanpassen, verkeer omleiden of backdoors uitrollen naar aangesloten edge‑apparaten. Precies dat gedrag is recent in het wild waargenomen. Snel patchen en je managementvlak afschermen beperken het aanvalsoppervlak aanzienlijk. (news.backbox.org)

Tot slot

• Productnamen zijn veranderd: SD‑WAN vSmart heet nu Cisco Catalyst SD‑WAN Controller; SD‑WAN vManage heet Cisco Catalyst SD‑WAN Manager. Let hierop bij het zoeken naar updates en documentatie. (thehackernews.com)
• Zie je afwijkingen of twijfel je over impact? Volg Cisco’s incidentstappen (TAC‑case openen, relevante logs en admin‑tech verzamelen) en voer een gerichte threat hunt uit volgens de maatregelen in hun advisories. (cisco.com)

Kernboodschap: installeer de beschikbare fixes zo snel mogelijk, sluit de managementinterfaces af van het internet en controleer actief op sporen van misbruik. Dat verkleint het risico dat een upload‑pad of API‑fout uitgroeit tot volledige overname van je SD‑WAN‑omgeving. (sec.cloudapps.cisco.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.