Kerentanan Kritis Cisco SD-WAN Dieksploitasi Sejak 2023, Penyerang Bisa Ambil Alih Controller

Cisco mengungkap adanya kerentanan kritis pada produk Cisco Catalyst SD-WAN yang telah dieksploitasi secara aktif dalam serangan zero-day sejak 2023. Celah keamanan ini, yang dilacak sebagai CVE-2026-20127, memiliki skor keparahan maksimum 10.0 dan memungkinkan penyerang melewati mekanisme autentikasi untuk mengambil alih controller serta menambahkan perangkat “rogue peer” berbahaya ke dalam jaringan korban.

Kerentanan tersebut berdampak pada Cisco Catalyst SD-WAN Controller (sebelumnya dikenal sebagai vSmart) dan Cisco Catalyst SD-WAN Manager (sebelumnya vManage), baik pada instalasi on-premises maupun SD-WAN Cloud. Cisco menyebutkan bahwa laporan awal mengenai celah ini berasal dari Australian Signals Directorate melalui Australian Cyber Security Centre (ACSC).

Bypass Autentikasi dan Akses Hak Istimewa Tinggi

Dalam advisori resminya, Cisco menjelaskan bahwa masalah muncul akibat mekanisme autentikasi peering yang tidak berfungsi sebagaimana mestinya. Penyerang dapat mengirimkan permintaan yang telah dimodifikasi secara khusus ke sistem terdampak untuk mengeksploitasi celah ini.

Jika berhasil, pelaku dapat masuk ke Cisco Catalyst SD-WAN Controller sebagai akun internal dengan hak istimewa tinggi (non-root). Dari posisi tersebut, penyerang dapat mengakses layanan NETCONF dan memanipulasi konfigurasi jaringan SD-WAN secara langsung.

Sebagai platform jaringan berbasis perangkat lunak, Cisco Catalyst SD-WAN dirancang untuk menghubungkan kantor cabang, pusat data, dan lingkungan cloud melalui sistem manajemen terpusat. Controller memainkan peran penting dalam mengarahkan lalu lintas terenkripsi antar lokasi. Dengan menambahkan rogue peer, pelaku dapat menyisipkan perangkat berbahaya yang tampak sah, membangun koneksi terenkripsi, serta mengiklankan jaringan di bawah kendali mereka untuk memperluas infiltrasi.

Aktivitas Serangan Dilacak sebagai UAT-8616

Advisori terpisah dari Cisco Talos menyatakan bahwa eksploitasi terhadap CVE-2026-20127 telah berlangsung aktif dan dilacak sebagai aktivitas dengan kode “UAT-8616”. Talos menilai dengan tingkat keyakinan tinggi bahwa serangan ini dilakukan oleh aktor ancaman yang sangat canggih.

Berdasarkan telemetri yang dianalisis, eksploitasi setidaknya telah berlangsung sejak 2023. Mitra intelijen menyebutkan bahwa pelaku kemungkinan meningkatkan akses menjadi root dengan cara menurunkan versi perangkat lunak ke versi lama, mengeksploitasi CVE-2022-20775 untuk memperoleh hak akses root, lalu mengembalikan firmware ke versi semula.

Strategi downgrade dan restore ini memungkinkan penyerang mendapatkan akses root sambil meminimalkan kemungkinan terdeteksi.

Peringatan Darurat dan Tindakan Pemerintah

Pengungkapan eksploitasi ini dilakukan melalui koordinasi antara Cisco dan otoritas Amerika Serikat serta Inggris. Pada 25 Februari 2026, CISA mengeluarkan Emergency Directive 26-03 yang mewajibkan lembaga Federal Civilian Executive Branch untuk melakukan inventarisasi sistem Cisco SD-WAN, mengumpulkan artefak forensik, memastikan penyimpanan log eksternal, menerapkan pembaruan, serta menyelidiki potensi kompromi terkait CVE-2026-20127 dan CVE-2022-20775.

CISA menilai eksploitasi ini sebagai ancaman mendesak terhadap jaringan federal dan menetapkan tenggat waktu patching hingga 27 Februari 2026 pukul 17.00 ET.

Panduan bersama dari CISA dan National Cyber Security Centre (NCSC) Inggris juga memperingatkan bahwa pelaku menargetkan deployment Cisco Catalyst SD-WAN secara global untuk menambahkan rogue peers, lalu melakukan tindakan lanjutan guna memperoleh akses root dan mempertahankan kontrol persisten.

Otoritas keamanan menegaskan bahwa antarmuka manajemen SD-WAN tidak boleh terekspos ke internet dan mendesak organisasi untuk segera memperbarui serta memperkuat sistem terdampak.

Indikator Kompromi dan Langkah Mitigasi

Cisco dan Talos mengimbau organisasi untuk memeriksa log pada sistem Catalyst SD-WAN Controller yang terekspos internet, terutama untuk mendeteksi peristiwa peering tidak sah dan aktivitas autentikasi mencurigakan.

Administrator disarankan meninjau file /var/log/auth.log untuk entri yang menunjukkan autentikasi “Accepted publickey for vmanage-admin” dari alamat IP yang tidak dikenal. Alamat IP tersebut perlu dibandingkan dengan daftar System IP yang dikonfigurasi pada SD-WAN Manager serta infrastruktur manajemen resmi. Jika ditemukan autentikasi dari IP tak dikenal, perangkat harus dianggap telah terkompromi dan segera dilaporkan ke Cisco TAC.

Indikator kompromi lainnya meliputi pembuatan atau penghapusan akun pengguna secara mencurigakan, login root yang tidak biasa, kunci SSH tidak sah pada akun vmanage-admin atau root, perubahan konfigurasi yang mengaktifkan PermitRootLogin, file log yang sangat kecil atau hilang, serta downgrade perangkat lunak dan reboot tak terduga.

Untuk memeriksa potensi eksploitasi CVE-2022-20775, CISA merekomendasikan analisis terhadap sejumlah log sistem, termasuk file debug dan log sinkronisasi skrip.

Jika akun root telah dikompromikan, lembaga disarankan melakukan instalasi ulang bersih daripada mencoba membersihkan infrastruktur yang sudah terinfeksi.

Tidak Ada Solusi Sementara, Patch Wajib Dilakukan

Cisco telah merilis pembaruan perangkat lunak untuk mengatasi kerentanan ini dan menegaskan bahwa tidak ada solusi sementara yang sepenuhnya dapat memitigasi CVE-2026-20127 selain melakukan upgrade ke versi yang telah diperbaiki.

Organisasi juga disarankan membatasi eksposur jaringan, menempatkan komponen kontrol SD-WAN di belakang firewall, mengisolasi antarmuka manajemen, meneruskan log ke sistem eksternal, serta mengikuti panduan hardening resmi dari Cisco.

Dengan eksploitasi yang telah berlangsung bertahun-tahun dan melibatkan teknik eskalasi canggih, insiden ini menjadi pengingat bahwa infrastruktur jaringan inti harus diaudit secara menyeluruh dan tidak pernah terekspos langsung ke internet tanpa perlindungan berlapis.