Morten Lyhne Petersen
En kritisk Cisco-sårbarhet med högsta möjliga riskpoäng utnyttjas just nu i riktade attacker.
Säkerhetshålet låter angripare logga in som administratör på Cisco Catalyst SD-WAN-styrenheter helt utan giltiga inloggningsuppgifter, och Cisco bekräftar att det aktivt missbrukas i fält. USA:s cybersäkerhetsmyndighet CISA gav federala myndigheter bara tre dygn på sig att täppa till luckan.
Sårbarheten har fått beteckningen CVE-2026-20182 och toppar CVSS-skalan med 10.0. Den drabbar både Cisco Catalyst SD-WAN Controller (tidigare vSmart) och Cisco Catalyst SD-WAN Manager (tidigare vManage), som tillsammans utgör hjärtat i Ciscos lösningar för programstyrda företagsnätverk.
Inget lösenord krävs, ger administratörskonto
Felet ligger i den så kallade peering-autentiseringen, den mekanism som kontrollerar identiteten när olika SD-WAN-komponenter ansluter till varandra. En angripare på avstånd kan skicka specialbyggda förfrågningar till sårbara enheter och logga in som ett internt högprivilegierat konto, enligt Ciscos säkerhetsrådgivning. Några konfigurationsändringar som mildrar problemet finns inte, kunderna måste uppgradera mjukvaran.
Säkerhetsföretaget Rapid7 har kartlagt hur attacken fortsätter när angriparen väl är inne. ”En oautentiserad fjärrangripare kan utnyttja CVE-2026-20182 för att bli en autentiserad peer mot målenheten och utföra privilegierade operationer, exempelvis injicera en angriparkontrollerad publik nyckel i SSH-filen authorized_keys för kontot vmanage-admin”, skriver Rapid7-forskarna enligt Help Net Security. Därifrån är steget till full root-kontroll kort, och angriparen kan ändra hela nätverkets konfiguration via NETCONF.
CISA kopplade in nödbeslut, deadline löpte ut den 17 maj
Det amerikanska Cybersecurity and Infrastructure Security Agency (CISA) lade in sårbarheten i sin katalog över aktivt utnyttjade sårbarheter samma dag som Cisco publicerade rådgivningen, den 14 maj. Federala myndigheter fick fram till den 17 maj 2026 på sig att antingen patcha eller koppla bort utrustningen, uppger Tenable. Så pass kort tidsfrist är ovanlig och utlöses normalt bara när myndigheten bedömer att risken är akut.
Den enda godkända åtgärden är att uppgradera till någon av de nya versionerna 20.9.9.1, 20.12.7.1, 20.15.5.2, 20.18.2.2 eller 26.1.1.1, beroende på vilken versionsgren man kör. Cisco rekommenderar samma åtgärder för alla kunder, inte bara amerikanska federala myndigheter.
Sjätte SD-WAN-zero-dayen i år, samma aktör bakom
CVE-2026-20182 är det sjätte säkerhetshål i Cisco SD-WAN som har utnyttjats som zero day under 2026. I februari avslöjade Cisco fyra sårbarheter i samma produktfamilj, däribland en annan maxrankad autentiseringsförbikoppling, CVE-2026-20127. Den hade då redan utnyttjats i drygt två år utan att upptäckas, rapporterar SecurityWeek.
Cisco knyter exploateringen av det nya hålet till samma hotaktör som låg bakom attackerna mot CVE-2026-20127, en grupp som Ciscos hotforskningsenhet Talos kallar UAT-8616. Enligt Talos handlar det om ”en mycket avancerad cyberhotaktör” som har riktat in sig på SD-WAN-infrastruktur sedan minst 2023. Tenable noterar att gruppens infrastruktur överlappar med så kallade Operational Relay Box-nät, ett mönster som ofta förknippas med kinesiska statsstödda aktörer.
Varför fortsätter hålen att dyka upp?
SD-WAN-styrenheter är attraktiva mål för avancerade aktörer eftersom de kontrollerar trafiken i hela företagsnätet och måste vara nåbara över internet för att kunna ansluta filialer. Samtidigt visar mönstret från årets fem tidigare zero-days att autentiseringen i Ciscos peering-protokoll har återkommande brister, ofta i koden som hanterar förtroenderelationerna mellan komponenterna.
För svenska företag och myndigheter som kör Cisco Catalyst SD-WAN finns ingen genväg utöver omedelbar patchning. CISA:s tvingande beslut omfattar bara amerikanska federala organ, men Ciscos varning är global och attackerna mot CVE-2026-20127 har enligt Talos drabbat kritisk infrastruktur i flera regioner.
