Cisco heeft gewaarschuwd voor een ernstige, nog niet gepatchte zero-day kwetsbaarheid (CVE-2026-20245) in de Cisco Catalyst SD-WAN Manager die actief wordt misbruikt in aanvallen. Deze kwetsbaarheid maakt het mogelijk voor aanvallers met beperkte rechten om via command injection root privileges te verkrijgen. De kwetsbaarheid treft alle implementatietypen van Cisco SD-WAN, waaronder On-Prem Deployment, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) en Cisco SD-WAN for Government (FedRAMP).

Volgens de advisory van Cisco ontstaat het probleem door onvoldoende validatie van door gebruikers aangeleverde input. Een aanvaller met netadmin-rechten kan een speciaal vervaardigd bestand uploaden om zo commando's uit te voeren met rootrechten. Hiervoor zijn geldige credentials nodig of het misbruiken van eerder bekende kwetsbaarheden zoals CVE-2026-20182 of CVE-2026-20127. Cisco heeft geen aanwijzingen dat andere aanvalsmethoden succesvol zijn toegepast. In enkele gevallen leidde de exploitatie tot configuratiewijzigingen die naar edge devices werden doorgevoerd.

De SD-WAN Manager, voorheen bekend als SD-WAN vManage, stelt beheerders in staat om tot 6.000 Catalyst SD-WAN apparaten centraal te monitoren en beheren. Cisco’s Product Security Incident Response Team (PSIRT) werd in juni op de hoogte gebracht van de exploitatie door Mandiant, een dochter van Google Cloud, die echter geen details vrijgaf maar wel indicatoren van compromittering (IOC’s) deelde. Beheerders wordt geadviseerd om de logbestanden van SD-WAN, zoals /var/log/scripts.log, te controleren op verdachte uploads van tenantconfiguraties die kunnen wijzen op privilege escalatie.

Hoewel er nog geen patches beschikbaar zijn voor CVE-2026-20245, raadt Cisco aan om de software te upgraden naar de versie die de eerder ontdekte en eveneens actief misbruikte kwetsbaarheid CVE-2026-20182 oplost. Eerder dit jaar werden ook andere kwetsbaarheden in Catalyst SD-WAN Manager gepatcht, waaronder CVE-2026-20133, CVE-2026-20128, CVE-2026-20122 en CVE-2026-20127, die door CISA als actief misbruikt zijn gemeld. CISA heeft in totaal 90 Cisco kwetsbaarheden als actief misbruikt geregistreerd, waarvan meerdere in SD-WAN Manager en enkele door ransomwaregroepen.

Voor ondersteuning bij het vaststellen of een Cisco Catalyst SD-WAN Manager is gecompromitteerd, kunnen klanten een case openen bij Cisco TAC en wordt geadviseerd eerst een admin-tech bestand te genereren voor analyse.