Publicerad: 2026-02-26 08:45

Kritisk nolldagssårbarhet i Cisco Catalyst SD-WAN

Cisco har publicerat information om en nolldagssårbarhet (CVE-2026-20127) som påverkar i Cisco Catalyst SD-WAN Controller (tidigare vSmart) och Cisco Catalyst SD-WAN Manager (tidigare vManage). Sårbarheten är kritisk och har fått en CVSS v3.1-klassning på 10 av Cisco. [1]

Sårbarheten är aktivt utnyttjad sedan 2023 och har lagts till i CISA:s Known Exploited Vulnerabilities catalog (KEV) samt kommunicerats i Emergency Directive. [3]

Ett framgångsrikt utnyttjande gör att en icke autentiserad angripare kan få access till Cisco Catalyst SD-WAN med förhöjda privilegier, manipulera nätverkskonfigurationer, samt lägga till nätverksenheter som kommer att uppfattas som legitima, för att genom detta ha möjlighet att få vidare access till nätverk samt system.

Cisco har samtidigt publicerat information om tre ytterligare kritiska sårbarheter (CVE-2026-20122, CVE-2026-20126 och CVE-2026-20128) med en CVSS v3.1-klassning på 9.8 av Cisco. Sårbarheterna gör det möjligt för en angripare att eskalera privilegier till root, få tillgång till känslig information och modifiera system. [2]

Det finns i nuläget endast säkerhetsuppdateringar för vissa versioner av produkterna. Cisco planerar att erbjuda ytterligare säkerhetsuppdateringar inom kort (måldatum 27/2) och har sammanställt tecken på intrång (IOC:er) samt råd gällande mitigerande åtgärder. [1] [2]

Rekommendationer

CERT-SE rekommenderar att skyndsamt ta del leverantörens anvisningar, noggrant undersöka system efter tecken på intrång [1] [4] [5], samt planera för säkerhetsuppdateringar.

Påverkade produkter

Gäller såväl lokala installationer och som molntjänst:

Cisco Catalyst SD-WAN Controller (tidigare vSmart)
Cisco Catalyst SD-WAN Manager (tidigare vManage)
Cisco Hosted SD-WAN Cloud
Cisco Hosted SD-WAN Cloud – Cisco Managed
Cisco Hosted SD-WAN Cloud – FedRAMP Environment

För mer detaljer om berörda produkter, se leverantörens information. [1] [2]

Källor

[1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v
[3] https://www.cisa.gov/news-events/directives/ed-26-03-mitigate-vulnerabilities-cisco-sd-wan-systems
[4] https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf (PDF)
[5] https://blog.talosintelligence.com/uat-8616-sd-wan/

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2026-02-26 08:45

Kritisk nolldagssårbarhet i Cisco Catalyst SD-WAN

Cisco har publicerat information om en nolldagssårbarhet (CVE-2026-20127) som påverkar i Cisco Catalyst SD-WAN Controller (tidigare...

Sårbarhet Cisco Catalyst SD-WAN
2026-02-20 12:15

CERT-SE:s veckobrev v.8

Bland veckans läsning finns till exempel en rapport om ökade angrepp mot OT-system (och om du...

Veckobrev
2026-02-19 12:35

Kritisk sårbarhet i Dell RecoverPoint for Virtual Machines

Dell har publicerat information om en kritisk sårbarhet (CVE-2026-22769) som påverkar RecoverPoint for Virtual Machines. Sårbarheten...

Sårbarhet Dell RecoverPoint for Virtual Machines
2026-02-13 13:37

CERT-SE:s veckobrev v.7

Idag kom nyheten om ett nytt samarbete gällande cybersäkerhet mellan Sverige och Ukraina, något som går...

Veckobrev
2026-02-11 12:50

Patchtisdag februari 2026 – samlad information om månadens säkerhetsuppdateringar

Flera leverantörer har släppt sina månatliga säkerhetsuppdateringar för februari.

Sårbarhet Patchtisdag Adobe Cisco Fortinet Microsoft SAP

Nyheter