Drie jaar lang zat er onopgemerkt een kritieke fout in Cisco’s Catalyst SD-WAN-producten. Hackers vonden het als eerste.
Cisco bevestigde dat aanvallers de bug, bijgehouden als CVE-2026-20127, misbruikten om authenticatie te omzeilen, bevoorrechte toegang te verkrijgen en stilletjes gegevens te stelen. De ontdekking leidde tot een zeldzame gezamenlijke waarschuwing van autoriteiten in de VS, het VK, Australië, Canada en Nieuw-Zeeland.
Erger nog, indringers koppelden de fout aan een oudere kwetsbaarheid om te escaleren naar root-toegang, persistente accounts aan te maken en hun sporen uit te wissen. Geen enkele groep heeft de verantwoordelijkheid opgeëist, maar onderzoekers zeggen dat de activiteit wijst op een enkele, ongeïdentificeerde actor die nu UAT-8616 heet.
1
Corsica Technologieën
Medewerkers per bedrijfsgrootte
Micro (0-49), Klein (50-249), Middel (250-999), Groot (1.000-4.999), Enterprise (5.000+)
Elke bedrijfsgrootte
Elke bedrijfsgrootte
Functies
Activiteitsmonitoring, antivirus, zwarte lijsten en meer
2
NordLayer
Medewerkers per bedrijfsgrootte
Micro (0-49), Klein (50-249), Middel (250-999), Groot (1.000-4.999), Enterprise (5.000+)
Klein (50-249 werknemers), middelgroot (250-999 werknemers), groot (1.000-4.999 werknemers), ondernemingen (5.000+ werknemers)
Klein, middelgroot, groot, onderneming
3
Graylog
Medewerkers per bedrijfsgrootte
Micro (0-49), Klein (50-249), Middel (250-999), Groot (1.000-4.999), Enterprise (5.000+)
Klein (50-249 werknemers), middelgroot (250-999 werknemers), groot (1.000-4.999 werknemers), ondernemingen (5.000+ werknemers)
Klein, middelgroot, groot, onderneming
Functies
Activiteitsmonitoring, dashboard, meldingen
Technische details van het incident
De kwetsbaarheid met de tag CVE-2026-20127 heeft een kritische basisscore van 10,0 en een impactscore van 6,0, wat snelle actie vereist. Door de kwetsbaarheid met succes te misbruiken, kunnen aanvallers gegevens stelen en gemakkelijk andere cyberaanvallen lanceren.
Volgens een Talos-rapport misbruikten aanvallers een bug in Catalyst SD-WAN-producten om de authenticatie op afstand te omzeilen. Om beheerdersrechten te verkrijgen, stuurden aanvallers kwaadaardige verzoeken naar het systeem met fouten. Door dit te doen kan de aanvaller overstappen naar een intern, zeer geprivilegieerd, niet-root-account, aldus het rapport.
Bij de initiële toegang werd geen root-toegang verleend. Uit een inlichtingenonderzoek van derden door de Australische overheid bleek echter dat aanvallers later root-toegang konden krijgen. Dit deden ze via het ingebouwde updatemechanisme. Dankzij het updatemechanisme konden ze de controller downgraden naar een versie die misbruik kon maken van een andere kwetsbaarheid: CVE-2022-20775.
CVE-2022-20775, aanwezig in de gedowngrade controller, verleent root-toegang aan lokale, geauthenticeerde niet-rootgebruikers.
Nadat de aanvaller root-toegang had verkregen, creëerde hij lokale accounts die legitieme accounts nabootsten en maakte hij opnieuw misbruik van CVE-2026-20127, waardoor hij blijvende toegang kreeg. Nadat de aanvaller permanente toegang had verkregen, herstelde hij de controller naar de vorige versie.
In het cyberrapport van de Australische regering werd ook opgemerkt dat er geen tekenen van commando- en controle werden gedetecteerd, noch waren er tekenen van zijwaartse beweging buiten de Catalyst SD-WAN-omgeving. Er werden echter tekenen van verdedigingsontduiking opgemerkt toen de aanvaller regelmatig logbestanden, shell-opdrachten en de geschiedenis van de netwerkverbinding wiste.
Wie zit er achter de aanval?
Tot nu toe heeft geen enkele groep de verantwoordelijkheid opgeëist en onderzoekers zijn er niet in geslaagd het incident toe te schrijven aan een specifieke dreigingsgroep.
Bepaalde tijdens het onderzoek waargenomen activiteiten vertoonden echter vergelijkbare patronen, wat op één enkele bron duidde. Maar omdat die activiteit op dit moment niet definitief kan worden toegeschreven aan een groep dreigingsactoren, wordt deze de naam UAT-8616 gegeven.
Hoe organisaties moeten reageren
Volgens verschillende rapporten van Cisco en de betrokken autoriteiten is de eerste stap voor organisaties die de Catalyst SD-WAN gebruiken het bekijken van de systeemlogboeken van de controller. De systeemlogboeken moeten, zoals vermeld in het cyberrapport van de Australische overheid, vanaf het apparaat worden doorgestuurd om te voorkomen dat deze door de aanvaller worden gewist.
Organisaties wordt ook geadviseerd om hun controllers achter een firewall met robuuste IP-blokkering te plaatsen.
Voor detectie en mitigatie moeten organisaties rapporten van Cisco Talos, de NSA Joint Cybersecurity Advisory en de Australische overheid raadplegen. Organisaties in Groot-Brittannië, Canada en Nieuw-Zeeland moeten ook speciale publicaties van hun respectieve regeringen beoordelen.
Lees ook: Een nieuw rapport onthult Android-apps voor geestelijke gezondheidszorg zijn goed voor 14,7 miljoen installaties terwijl gevoelige gebruikersgegevens in gevaar komen.
