- Cisco Catalyst SD-WAN zero-day (CVE-2026-20127) dieksploitasi sejak 2023
- Cacatnya memungkinkan penyerang menambahkan rekan jahat dan memanipulasi konfigurasi jaringan
- CISA menambahkan bug ke katalog KEV, memesan patch mendesak; terkait dengan kelompok ancaman UAT-8616
Pelaku ancaman “sangat canggih” dilaporkan telah mengeksploitasi kerentanan zero-day di Cisco Catalyst SD-WAN selama lebih dari dua tahun, perusahaan telah mengungkapkan.
Keamanan siber Cisco lenganTalos, merilis laporan baru yang mengatakan pihaknya mengamati kerentanan otentikasi kritis yang dieksploitasi secara aktif oleh penjahat yang menggunakannya untuk menyusupi pengontrol dan menambahkan rekan jahat ke jaringan target.
Kerentanan tersebut kini dilacak sebagai CVE-2026-20127 dan memiliki skor tingkat keparahan maksimum – 10/10 (kritis).
CISA menambahkannya ke KEV
Basis Data Kerentanan Nasional (NVD) mengatakan bug tersebut ada “karena mekanisme otentikasi peering dalam sistem yang terkena dampak tidak berfungsi dengan baik”, sehingga memungkinkan pelaku kejahatan mengirimkan permintaan yang dibuat untuk mengeksploitasinya.
“Eksploitasi yang berhasil dapat memungkinkan penyerang untuk masuk ke Pengontrol SD-WAN Cisco Catalyst yang terpengaruh sebagai akun pengguna internal, dengan hak istimewa tinggi, dan non-root. Dengan menggunakan akun ini, penyerang dapat mengakses NETCONF, yang kemudian memungkinkan penyerang memanipulasi konfigurasi jaringan untuk struktur SD-WAN,” jelasnya.
Laporan Talos mengklaim kelompok yang dilacak sebagai UAT-8616 adalah kelompok yang menyalahgunakannya, setidaknya sejak tahun 2023. Serangan tersebut tampaknya dimulai dengan menurunkan versi solusi SD-WAN ke versi yang lebih lama dan rentan, dan kemudian menggunakannya untuk mendapatkan akses root. Setelah membobol, penjahat akan mengembalikan versi firmware asli untuk menutupi jejak mereka.
Pada hari Rabu, Badan Keamanan Siber dan Infrastruktur AS (CISA) menambahkan bug tersebut ke katalog KEV, mengonfirmasi laporan penyalahgunaan di alam liar, dan memberikan waktu dua hari bagi lembaga Cabang Eksekutif Sipil Federal (FCEB) untuk memperbaiki atau menghentikan penggunaan produk tersebut sepenuhnya. Biasanya, CISA memberikan waktu tiga minggu kepada lembaga FCEB untuk merespons, namun dalam kasus ini, dikatakan bahwa bug tersebut merupakan ancaman besar.
UAT-8616 tampaknya merupakan kelompok ancaman baru, karena tidak ada catatan publik terpisah mengenai aktor ini yang dikaitkan dengan serangan berbeda sebelumnya dengan nama yang sama.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
