Hackers maken misbruik van een zero-day kwetsbaarheid in het Arista Extensible Operating System (EOS) waarvoor geen patch zal worden uitgebracht. Arista EOS is een modulair, op Linux gebaseerd netwerkbesturingssysteem dat wordt gebruikt in de high-performance switches van de leverancier, gericht op datacenters, cloudomgevingen en ondernemingen. De kwetsbaarheid, geregistreerd als CVE-2026-7473 met een CVSS-score van 6.9, ontstaat doordat het tunnelprotocoltype in bepaalde configuraties niet wordt geverifieerd, waardoor niet-geconfigureerd tunnelverkeer kan worden verwerkt.

De kwetsbaarheid kan alleen worden geactiveerd op apparaten die Arista EOS draaien en zijn geconfigureerd als tunnelendpoint met een decapsulatie-IP, zoals decap-groepen, een GRE-tunnelinterface of VXLAN. Volgens Arista zal een apparaat dat is ingesteld om één tunneltype te decapsuleren ook onterecht andere tunnelprotocollen accepteren en decapsuleren die naar hetzelfde IP-adres zijn gericht, zelfs als deze protocollen niet expliciet zijn geconfigureerd. De beveiligingsfout treft onder meer de productseries 7020R, 7280R/R2 en 7500R/R2, terwijl bepaalde IP-in-IPv6 en GUE IPV6 decap-groep scenario's ook van toepassing zijn op de 7280R3, 7500R3 en 7800R3 series.

Arista bevestigt in een security advisory van mei dat de kwetsbaarheid in het wild wordt misbruikt. Hoewel het bedrijf gedetailleerde mitigatie-instructies heeft verstrekt, zal er geen patch of hotfix worden uitgebracht om het probleem te verhelpen. Arista geeft aan dat er geen software-upgrade gepland is vanwege het risico dat bestaande configuraties op implementaties worden verbroken. De aanbevolen oplossing is dan ook het strikt volgen van de mitigatie-instructies.

Op dinsdag heeft het Amerikaanse cybersecurityagentschap CISA CVE-2026-7473 toegevoegd aan haar Known Exploited Vulnerabilities (KEV) lijst en dringt er bij federale instanties op aan om de kwetsbaarheid binnen twee weken aan te pakken. Tegelijkertijd breidde CISA de KEV-lijst uit met twee recent ontdekte kwetsbaarheden, één in Chrome (CVE-2026-11645) en één in Cisco SD-WAN (CVE-2026-20245), die eveneens als zero-days in het wild worden geëxploiteerd.