En alvorlig nul-dags-sårbarhed i Cisco Catalyst SD-WAN Controller og Manager bliver aktivt udnyttet af en kendt trusselgruppe. Sårbarheden, identificeret som CVE-2026-20182, har opnået den maksimale CVSS-score på 10 og giver angribere mulighed for at omgå autentifikation og opnå administratoradgang.
Ifølge en trusselsanalyse fra Cisco, offentliggjort torsdag, er angrebene endnu på et begrænset stadie, men trusselgruppen bag er allerede kendt for tidligere at have udnyttet sårbarheder i Ciscos firewall- og SD-WAN-systemer. Douglas McKee, direktør for sårbarhedsintelligens hos Rapid7, beskrev sårbarheden som en "mester-nøgle", der giver angribere mulighed for at udgive sig for at være en betroet netværksrouter og dermed få fuld adgang til systemet.
Angrebene er blevet opdaget og rapporteret
Rapid7 opdagede og rapporterede sårbarheden til Cisco allerede den 9. marts. Cisco blev opmærksom på de begrænsede angreb tidligere denne måned og udsendte en opdatering med en rettelse torsdag. Cybersecurity and Infrastructure Security Agency (CISA) har allerede tilføjet sårbarheden til sin liste over kendte udnyttede sårbarheder.
Cisco har dog ikke oplyst, hvad der skete i den to-måneders periode mellem opdagelsen og offentliggørelsen. Opdateringen markerer endnu en udfordring for Ciscos kunder, som allerede har været udsat for en række aktivt udnyttede sårbarheder i leverandørens netværkssoftware siden februar.
Trusselgruppen UAT-8616 fortsætter med at angribe
Ifølge forskere hos Cisco Talos kan angrebene tilskrives trusselgruppen UAT-8616. Gruppen har tidligere udnyttet to andre nul-dages-sårbarheder i Ciscos netværkssoftware i mindst tre år, før aktiviteten blev opdaget og rapporteret i februar. Gruppen fortsætter med at udnytte nye sårbarheder aktivt.
Cisco Talos har advaret om, at UAT-8616 sammen med mindst 10 andre trusselgrupper har kombineret og opnået "bred aktiv udnyttelse" af tre sårbarheder i upatchede Cisco Catalyst SD-WAN-systemer. Disse sårbarheder blev tidligere rapporteret og rettet i februar, herunder CVE-2026-20122, CVE-2026-20128 og CVE-2026-20133.
Fem Øjne identificerede tidligere sårbarhed
Rapid7 opdagede den seneste kritiske autentifikationsbypass-sårbarhed under undersøgelsen af CVE-2026-20127, en tidligere nul-dags-sårbarhed, som Five Eyes identificerede og bekræftede som aktivt udnyttet af UAT-8616 i slutningen af 2025. Myndigheder og Cisco ventede mindst to måneder med at offentliggøre og rette sårbarheden samt udsende nødforanstaltninger.
Denne kampagne, som begyndte for mindst tre år siden, markerer den anden serie af aktivt udnyttede nul-dages-sårbarheder i Cisco.
Vi anbefaler kraftigt, at kunderne anvender de tilgængelige rettede softwareversioner og følger vejledningen i de officielle advisorer og Ciscos blogindlæg.
Relaterede artikler
Pentagons topcyberchef: AI er revolutionerende for krigsførelse
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Hvid Hus-ekspert: Identitetssikkerhed bliver altafgørende i AI-æraen
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn ramt af cyberangreb: Nitrogen-gruppe stjæler 8 terabyte data
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI-baserede systemer bryder alle grænser for autonom cybersikkerhed – hvad betyder det for fremtiden?
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
Lukket briefing baner vej for høring om AI-modellen Mythos og cyberrisici
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
AI som våben: Den nye trussel mod virksomhedernes sikkerhed
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...
OpenAI lancerer Daybreak: AI-værktøj til at opdage og lukke softwarefejl
OpenAI has unveiled Daybreak, a cybersecurity initiative that combines the company’s large language models with its Codex agentic framework to help or...
Podcast: Kinesisk AI-værktøj skaber dybefakes i realtid – og driver svindel
We start this week with Joseph’s story about how we obtained Haotian AI, a sought-after piece of realtime video deepfake software that lets you turn i...