Kritiek beveiligingslek in Cisco SD-WAN
Cisco heeft een dwingende waarschuwing afgegeven voor een kritiek beveiligingslek in zijn Catalyst SD-WAN-controllers. De kwetsbaarheid, die de maximale ernstscore van 10.0 heeft gekregen, stelt ongeautoriseerde aanvallers op afstand in staat om de volledige controle over bedrijfsnetwerken over te nemen. Cisco bevestigt dat er inmiddels meldingen zijn van beperkte uitbuiting van het lek in de praktijk.
Het lek (geregistreerd als CVE-2026-20127) bevindt zich in het authenticatiemechanisme tussen verschillende onderdelen van de SD-WAN-architectuur, voorheen bekend onder de namen vSmart en vManage. Door een fout in de manier waarop deze systemen elkaar identificeren, kan een hacker zonder inloggegevens binnendringen met administrator-rechten.
Netwerkmanipulatie op grote schaal
Zodra een aanvaller toegang heeft verkregen tot de controller, kan hij inloggen als een interne gebruiker met hoge privileges. Vanaf dat punt is het mogelijk om via de NETCONF-interface de volledige configuratie van het bedrijfsnetwerk (de 'fabric') te manipuleren. Dit geeft kwaadwillenden de macht om dataverkeer te onderscheppen, om te leiden of volledige netwerksegmenten plat te leggen.
De kwetsbaarheid werd ontdekt en gerapporteerd door het Australian Signals Directorate's Australian Cyber Security Centre (ACSC). Het treft zowel on-premise installaties als diverse cloud-varianten van de Cisco-oplossing.
Belangrijkste details van de kwetsbaarheid
| Kenmerk | Details |
| CVSS Score | 10.0 (Kritiek) |
| CVE-ID | CVE-2026-20127 |
| Impact | Volledige overname van SD-WAN infrastructuur |
| Status | Beperkte uitbuiting in de praktijk waargenomen |
| Workaround | Geen (directe software-update vereist) |
Geen omweg mogelijk: Updaten is noodzakelijk
Cisco benadrukt dat er geen workarounds beschikbaar zijn om het lek te dichten zonder de software te updaten. Voor organisaties die hun eigen datacenters beheren, wordt als tijdelijke voorzorgsmaatregel geadviseerd om de toegang tot poort 22 (SSH) en poort 830 strikt te beperken tot vertrouwde IP-adressen via firewalls of Access Control Lists (ACL's).
De fabrikant heeft inmiddels voor de meeste versies herstelsoftware uitgebracht. Voor versie 20.9 wordt de fix uiterlijk 27 februari verwacht. Cisco adviseert klanten met klem om direct naar een ondersteunde en gepatchte versie te migreren.
Hoe controleert u op een inbreuk?
Beheerders wordt geadviseerd om onmiddellijk hun logbestanden te controleren op verdachte activiteiten. Specifiek moet er in /var/log/auth.log gezocht worden naar vermeldingen zoals Accepted publickey for vmanage-admin afkomstig van onbekende of ongeautoriseerde IP-adressen.
Daarnaast is het cruciaal om alle 'peering events' handmatig te valideren. Aanvallers die de infrastructuur binnendringen, proberen vaak nieuwe, ongeautoriseerde peer-verbindingen op te zetten die op het eerste gezicht legitiem lijken, maar afkomstig zijn van niet-geregistreerde systemen.
Advies voor beheerders
- Update direct naar de laatst beschikbare vaste release (bijv. 20.12.6.1 of 20.15.4.2).
- Beperk toegang vanaf het internet tot de controller-interfaces.
- Monitor webverkeer en logbestanden op afwijkende patronen.
- Schakel onnodige diensten zoals HTTP en FTP uit op de beheerportalen.
Meer over Security
Over Witold Kepinski
