Serangan Zero-Day Cisco Kian Parah: Kelompok Ancaman Tingkat Lanjut Targetkan SD-WAN

Kelompok ancaman tingkat lanjut kembali menargetkan perangkat Cisco Catalyst SD-WAN Controller dan Manager dengan mengeksploitasi kerentanan zero-day tingkat kritis. Cisco mengungkapkan bahwa serangan terbatas yang mereka sadari saat ini terkait dengan serangkaian kerentanan lain yang sebelumnya telah didokumentasikan pada firewall dan sistem SD-WAN milik vendor tersebut.

Kerentanan bypass autentikasi yang diberi kode CVE-2026-20182 memiliki peringkat CVSS 10, tingkat tertinggi, dan digambarkan oleh Douglas McKee, Direktur Intelijen Kerentanan di Rapid7, sebagai "kunci utama". Ia menjelaskan, "Seorang penyerang dapat menyamar sebagai router jaringan tepercaya dan, jika sistem menerima klaim tersebut tanpa validasi yang tepat, mereka dapat memperoleh akses administratif tingkat tertinggi."

Rapid7 menemukan dan melaporkan kerentanan ini kepada Cisco pada 9 Maret. Cisco menyatakan telah mengetahui eksploitasi terbatas sejak awal bulan ini. Vendor tersebut merilis patch perbaikan dan CISA segera memasukkan kerentanan ini ke dalam katalog kerentanan yang dieksploitasi secara aktif.

Jendela Dua Bulan yang Mencurigakan

Cisco tidak menjelaskan aktivitas apa yang terjadi selama dua bulan sejak pelaporan hingga perbaikan dirilis. Namun, peringatan dari para peneliti ini menjadi tantangan baru bagi pelanggan Cisco yang sejak akhir Februari telah menghadapi banjir kerentanan yang dieksploitasi secara aktif pada perangkat lunak tepi jaringan vendor tersebut.

Cisco bukan satu-satunya vendor keamanan yang menghadapi serangan masif, namun menjadi salah satu yang paling sering ditargetkan. Dalam kurang dari tiga bulan, CISA telah menambahkan tujuh kerentanan yang memengaruhi SD-WAN dan firewall Cisco ke dalam katalog kerentanan yang dieksploitasi secara aktif.

Kelompok UAT-8616 Kembali Beraksi

Peneliti Cisco Talos mengaitkan serangan zero-day terbaru ini dengan kelompok ancaman yang dikenal sebagai UAT-8616. Kelompok ini sebelumnya telah mengeksploitasi sepasang zero-day terpisah pada perangkat lunak tepi jaringan Cisco selama setidaknya tiga tahun sebelum aktivitasnya terungkap dan dilaporkan pada Februari lalu.

Meskipun eksploitasi masih berlangsung, Cisco enggan mengungkapkan asal-usul atau motivasi kelompok UAT-8616. "Kami sangat menyarankan pelanggan untuk menerapkan versi perangkat lunak yang telah diperbaiki dan mengikuti panduan yang disediakan dalam advisori serta blog Cisco Talos," kata seorang juru bicara perusahaan dalam pernyataannya.

Ancaman Gabungan dari 10 Kelompok Lain

Peneliti Cisco Talos juga memperingatkan bahwa UAT-8616 dan setidaknya 10 kelompok ancaman lainnya telah menggabungkan eksploitasi tiga kerentanan pada Cisco Catalyst SD-WAN Infrastructure yang belum dipatch. Cisco sebelumnya telah mendokumentasikan dan merilis patch untuk kerentanan tersebut—termasuk CVE-2026-20122, CVE-2026-20128, dan CVE-2026-20133—pada Februari lalu.

Rapid7 menemukan kerentanan bypass autentikasi kritis terbaru ini saat meneliti CVE-2026-20127, sebuah zero-day sebelumnya yang diidentifikasi oleh Five Eyes dan dikonfirmasi dieksploitasi secara aktif oleh UAT-8616 pada akhir 2025. Otoritas dan Cisco menunggu setidaknya dua bulan untuk mengungkapkan dan mempatch kerentanan ini serta membagikan panduan mitigasi darurat.