Ny allvarlig Cisco-sårbarhet utnyttjas aktivt av hotgrupp

Kritisk sårbarhet i Cisco-system utnyttjas aktivt

En ny kritisk noll-dagssårbarhet i Cisco Catalyst SD-WAN Controller och Manager utnyttjas för närvarande av en hotgrupp. Sårbarheten, identifierad som CVE-2026-20182, har fått den högsta möjliga CVSS-poängen 10 och beskrivs som en "master key" som ger administratörsaccess till systemet.

Sårbarheten möjliggör administratörsaccess

Enligt Douglas McKee, chef för sårbarhetsintelligens på Rapid7, kan angripare utge sig för att vara en betrodd nätverksrouter och på så sätt kringgå autentisering. Om systemet accepterar anspråket utan korrekt validering kan angriparen erhålla högsta administrativa rättigheter.

"Det är som en cyber-Jedi-mindtrick. Angriparen kan presentera sig som en betrodd enhet och få full kontroll över systemet."

Tidslinje för upptäckt och åtgärder

Rapid7 upptäckte och rapporterade sårbarheten till Cisco den 9 mars. Cisco blev medvetet om begränsad utnyttjande av sårbarheten tidigare i månaden och släppte en patch den 15 maj. Samtidigt lades sårbarheten till i CISA:s katalog över kända utnyttjade sårbarheter. Det är oklart vad som hände under de två månader som förflöt mellan upptäckt och patchning.

Hotgrupp bakom attackerna identifierad

Cisco Talos har kopplat attackerna till hotgruppen UAT-8616, som tidigare utnyttjat två andra noll-dagars-sårbarheter i Cisco:s nätverksmjukvara under minst tre år innan aktiviteten upptäcktes i februari. Gruppen har även utnyttjat minst tre andra sårbarheter i ouppdaterad Cisco Catalyst SD-WAN Infrastructure.

Rekommendationer till kunder

Cisco rekommenderar starkt sina kunder att uppdatera sina system med de tillgängliga patcharna och följa de riktlinjer som anges i företagets säkerhetsrådgivningar. Trots upprepade frågor har Cisco inte kommenterat ursprunget eller motiven bakom UAT-8616:s aktiviteter.

Ökad sårbarhet för Cisco-kunder

Denna incident är en del av en större trend där Cisco-kunder drabbats av ett flertal aktivt utnyttjade sårbarheter i företagets nätverksmjukvara sedan februari. CISA har under de senaste tre månaderna lagt till sju sårbarheter relaterade till Cisco SD-WAN och brandväggar till sin katalog över kända utnyttjade sårbarheter.

Flera hotgrupper utnyttjar sårbarheter

Cisco Talos varnar för att UAT-8616 och minst tio andra hotgrupper har kedjat ihop och uppnått omfattande aktiv utnyttjande av tre sårbarheter i ouppdaterad Cisco Catalyst SD-WAN Infrastructure. Dessa sårbarheter, inklusive CVE-2026-20122, CVE-2026-20128 och CVE-2026-20133, har tidigare rapporterats och patchats i februari.

Bakgrund till upptäckten

Rapid7 upptäckte den kritiska autentiseringsbypass-sårbarheten under forskning kring CVE-2026-20127, en tidigare noll-dagars-sårbarhet som Five Eyes identifierade och bekräftade som aktivt utnyttjad av UAT-8616 i slutet av 2025. Myndigheter och Cisco väntade minst två månader innan de offentliggjorde och patchade sårbarheten samt delade akutåtgärder.