Cisco har avslørt en kritisk sårbarhet i SD-WAN Manager som angripere allerede har utnyttet i nulldagsangrep for å oppnå root-tilgang til berørte systemer. Selskapet bekreftet at trusselaktører utnyttet sårbarheten før en sikkerhetsoppdatering var tilgjengelig, noe som øker behovet for raske tiltak hos organisasjoner med sårbare installasjoner.
Sårbarheten, som spores som CVE-2025-20337, påvirker Cisco SD-WAN Manager, tidligere kjent som vManage. Vellykket utnyttelse gjør det mulig for en autentisert angriper å heve sine privilegier og utføre handlinger med root-rettigheter på kompromitterte enheter.
Cisco har publisert sikkerhetsoppdateringer og oppfordrer kunder til å installere dem så raskt som mulig.
Angripere oppnådde root-tilgang
Ifølge Cisco skyldes sårbarheten mangelfull validering i den berørte programvaren. En angriper med gyldige legitimasjonsopplysninger kan utnytte feilen til å kjøre vilkårlige kommandoer og få full root-kontroll over systemet.
Root-tilgang gir angripere omfattende kontroll over en enhet. Når disse rettighetene er oppnådd, kan angripere endre konfigurasjoner, distribuere ytterligere skadevare, opprette nye kontoer og bevege seg dypere inn i nettverksmiljøet.
Cisco opplyste at angripere aktivt utnyttet sårbarheten i virkelige angrep før selskapet publiserte en sikkerhetsoppdatering.
Avsløringen plasserer sårbarheten blant et økende antall virksomhetsrettede sikkerhetsfeil som organisasjoner har måttet håndtere mens angrep allerede pågikk.
Organisasjoner står overfor økt risiko
SD-WAN-plattformer har ofte en kritisk rolle i bedriftsnettverk. De brukes til å administrere forbindelser mellom kontorer, skytjenester og datasentre. Derfor kan en vellykket kompromittering gi angripere verdifull tilgang til virksomhetens infrastruktur.
Sikkerhetsteam prioriterer ofte SD-WAN-sårbarheter fordi angripere kan bruke kompromitterte administrasjonsplattformer til å påvirke flere nettverkslokasjoner gjennom ett enkelt kontrollpunkt.
Organisasjoner som utsetter oppdateringene risikerer å eksponere kritiske nettverksadministrasjonssystemer for angripere som søker forhøyede privilegier.
Cisco har ikke offentlig identifisert trusselaktørene bak angrepene, men selskapet har bekreftet at sårbarheten har blitt utnyttet i aktive angrep.
Sikkerhetsoppdateringer er tilgjengelige
Cisco har publisert oppdateringer som løser sårbarheten og anbefaler at kunder oppdaterer berørte systemer umiddelbart. Selskapet anbefaler også administratorer å gjennomgå logger og undersøke tegn på uautorisert aktivitet.
Organisasjoner bør bekrefte at kun betrodde brukere har tilgang til SD-WAN-administrasjonssystemer, og sikre at administrative legitimasjonsopplysninger er godt beskyttet.
Sikkerhetsteam bør også overvåke privilegerte kontoer og gjennomgå konfigurasjonsendringer som ble utført før sikkerhetsoppdateringen ble installert.
Disse tiltakene kan bidra til å identifisere mulige kompromitteringsforsøk og redusere risikoen for videre utnyttelse.
Konklusjon
Cisco SD-WAN-sårbarheten viser den vedvarende trusselen fra sikkerhetsfeil som angripere utnytter før leverandører rekker å publisere rettelser. Cisco bekreftet at trusselaktører brukte CVE-2025-20337 i nulldagsangrep for å oppnå root-tilgang til sårbare systemer. Organisasjoner som bruker berørte SD-WAN Manager-installasjoner bør installere tilgjengelige sikkerhetsoppdateringer umiddelbart og undersøke miljøene sine for tegn på kompromittering.
0 responses to “Cisco SD-WAN-sårbarhet utnyttes i nulldagsangrep”