Op 25 februari 2026 heeft Cisco beveiligingsadviezen gepubliceerd over meerdere kwetsbaarheden met hoge en kritieke ernst in Cisco Catalyst SD-WAN controllers en Cisco SD-WAN Manager. Bij succesvolle exploitatie kunnen aanvallers administratieve toegang verkrijgen tot de getroffen systemen, wat ernstige gevolgen kan hebben voor de netwerkbeveiliging.

Een van de kwetsbaarheden, CVE-2026-20127, wordt sinds 2023 actief misbruikt in het wild. Deze kwetsbaarheid betreft een authenticatie-omzeiling in de Cisco Catalyst SD-WAN Controller, voorheen bekend als SD-WAN vManager. Door het versturen van speciaal vervaardigde verzoeken kan een externe, niet-geauthenticeerde aanvaller zich toegang verschaffen als een interne gebruiker met hoge privileges, zonder rootrechten. Hiermee kan de aanvaller netwerkconfiguraties wijzigen, ongeautoriseerde apparaten toevoegen aan het SD-WAN-netwerk, gevoelige configuratiegegevens uitlezen en persistente toegang opbouwen. De oorzaak ligt in een falende peering-authenticatiemechanisme binnen het systeem. Meer informatie is te vinden in het security advisory van Cisco.

Daarnaast zijn er meerdere kwetsbaarheden in Cisco Catalyst SD-WAN Manager, voorheen SD-WAN vManage, die een aanvaller kunnen toestaan om toegang te krijgen tot het systeem, privileges te verhogen tot root, gevoelige informatie te verkrijgen en willekeurige bestanden te overschrijven. Deze kwetsbaarheden zijn onafhankelijk van elkaar en kunnen afzonderlijk worden misbruikt. Zo is CVE-2026-20129 een authenticatie-omzeiling in de API-gebruikersauthenticatie, waarmee een niet-geauthenticeerde aanvaller toegang kan krijgen als een gebruiker met de netadmin-rol. CVE-2026-20126 betreft een privilege-escalatie via de REST API, waardoor een lokale, laaggeprivilegieerde gebruiker rootrechten kan verkrijgen. CVE-2026-20133 maakt het mogelijk voor een niet-geauthenticeerde aanvaller om gevoelige informatie in te zien door onvoldoende toegangsbeperkingen tot het bestandssysteem. Tenslotte kan CVE-2026-20122, een kwetsbaarheid voor het overschrijven van bestanden via de API, door een geauthenticeerde aanvaller met leesrechten worden misbruikt om willekeurige bestanden te overschrijven. Deze kwetsbaarheden zijn gedetailleerd beschreven in het security advisory van Cisco en aanvullende documentatie.

Het wordt sterk aanbevolen om forensisch bewijs veilig te stellen, te zoeken naar indicatoren van compromittering en de beschikbare updates zo snel mogelijk toe te passen. Voor verdere richtlijnen en hardening van Cisco Catalyst SD-WAN omgevingen kan de Cisco Catalyst SD-WAN Hardening Guide worden geraadpleegd.