Cisco har afsløret en kritisk sårbarhed i SD-WAN Manager, som angribere allerede har udnyttet i zero-day-angreb for at opnå root-adgang til berørte systemer. Virksomheden bekræftede, at trusselsaktører udnyttede sårbarheden, før en sikkerhedsopdatering blev tilgængelig, hvilket øger behovet for hurtig handling hos organisationer med sårbare installationer.
Sårbarheden, som spores som CVE-2025-20337, påvirker Cisco SD-WAN Manager, tidligere kendt som vManage. En vellykket udnyttelse gør det muligt for en autentificeret angriber at forhøje sine rettigheder og udføre handlinger med root-rettigheder på kompromitterede enheder.
Cisco har frigivet sikkerhedsopdateringer og opfordrer kunder til at installere dem hurtigst muligt.
Angribere opnåede root-adgang
Ifølge Cisco skyldes sårbarheden utilstrækkelig validering i den berørte software. En angriber med gyldige legitimationsoplysninger kan udnytte fejlen til at udføre vilkårlige kommandoer og opnå fuld root-kontrol over systemet.
Root-adgang giver angribere omfattende kontrol over en enhed. Når disse rettigheder er opnået, kan angribere ændre konfigurationer, installere yderligere malware, oprette nye konti og bevæge sig dybere ind i netværksmiljøet.
Cisco oplyste, at angribere aktivt udnyttede sårbarheden i virkelige angreb, før virksomheden offentliggjorde en rettelse.
Afsløringen placerer sårbarheden blandt et voksende antal virksomhedsrettede sikkerhedsfejl, som organisationer har måttet håndtere, mens angreb allerede var i gang.
Organisationer står over for øget risiko
SD-WAN-platforme har ofte en kritisk rolle i virksomheders netværk. De bruges til at administrere forbindelser mellem kontorer, cloudtjenester og datacentre. Derfor kan en vellykket kompromittering give angribere værdifuld adgang til virksomhedens infrastruktur.
Sikkerhedsteams prioriterer ofte SD-WAN-sårbarheder, fordi angribere kan bruge kompromitterede administrationsplatforme til at påvirke flere netværkslokationer gennem et enkelt kontrolpunkt.
Organisationer, der udskyder opdateringerne, risikerer at eksponere kritiske netværksadministrationssystemer for angribere, der søger forhøjede rettigheder.
Cisco har ikke offentligt identificeret de trusselsaktører, der står bag angrebene, men virksomheden har bekræftet, at sårbarheden er blevet udnyttet i aktive angreb.
Sikkerhedsopdateringer er tilgængelige
Cisco har frigivet opdateringer, der afhjælper sårbarheden, og anbefaler, at kunder opdaterer berørte systemer med det samme. Virksomheden råder også administratorer til at gennemgå logfiler og undersøge tegn på uautoriseret aktivitet.
Organisationer bør sikre, at kun betroede brugere har adgang til SD-WAN-administrationssystemer, og at administrative legitimationsoplysninger er beskyttet.
Sikkerhedsteams bør også overvåge privilegerede konti og gennemgå konfigurationsændringer, der blev foretaget før installationen af sikkerhedsopdateringen.
Disse tiltag kan hjælpe med at identificere potentielle kompromitteringsforsøg og reducere risikoen for yderligere udnyttelse.
Konklusion
Cisco SD-WAN-sårbarheden understreger den fortsatte trussel fra sikkerhedsfejl, som angribere udnytter, før leverandører når at frigive rettelser. Cisco bekræftede, at trusselsaktører brugte CVE-2025-20337 i zero-day-angreb for at opnå root-adgang til sårbare systemer. Organisationer, der anvender berørte SD-WAN Manager-installationer, bør installere de tilgængelige sikkerhedsopdateringer hurtigst muligt og undersøge deres miljøer for tegn på kompromittering.
0 svar til “Cisco SD-WAN-sårbarhed udnyttes i zero-day-angreb”