Cisco memperingatkan bahwa dua kerentanan pada perangkat lunak Catalyst SD-WAN Manager kini telah dieksploitasi secara aktif di dunia nyata. Administrator didesak segera memperbarui perangkat yang rentan.
Catalyst SD-WAN Manager—sebelumnya dikenal sebagai vManage—merupakan perangkat lunak manajemen jaringan yang memungkinkan pengelolaan hingga 6.000 perangkat SD-WAN melalui satu dashboard terpusat.
Dalam pembaruan advisori tertanggal Maret 2026, Cisco menyatakan bahwa eksploitasi aktif hanya terkonfirmasi pada dua CVE berikut:
- CVE-2026-20122
- CVE-2026-20128
Cisco menegaskan bahwa kerentanan lain dalam advisori yang sama belum diketahui dieksploitasi.
Detail Kerentanan yang Dieksploitasi
CVE-2026-20122 merupakan celah tingkat tinggi yang memungkinkan penimpaan file arbitrer. Namun, eksploitasi hanya dapat dilakukan oleh penyerang jarak jauh yang memiliki kredensial valid dengan akses API tingkat baca (read-only).
Sementara itu, CVE-2026-20128 adalah kerentanan pengungkapan informasi tingkat menengah yang memerlukan akses lokal dengan kredensial vManage yang sah pada sistem target.
Cisco menyatakan kedua celah ini memengaruhi perangkat lunak Catalyst SD-WAN Manager terlepas dari konfigurasi perangkat.
Zero-Day SD-WAN Sejak 2023
Pekan lalu, Cisco juga menandai kerentanan kritis bypass autentikasi CVE-2026-20127 sebagai telah dieksploitasi dalam serangan zero-day sejak setidaknya 2023.
Celah tersebut memungkinkan aktor ancaman canggih membobol controller SD-WAN dan menambahkan perangkat rogue yang tampak sah ke dalam jaringan korban.
Perangkat rogue ini dapat digunakan untuk memperluas akses penyerang lebih dalam ke jaringan yang telah dikompromikan.
Eksploitasi CVE-2026-20127 juga menjadi perhatian otoritas Amerika Serikat dan Inggris. CISA bahkan mengeluarkan Emergency Directive 26-03 yang mewajibkan lembaga federal untuk menginventarisasi sistem Cisco SD-WAN, mengumpulkan artefak forensik, menerapkan pembaruan, dan menyelidiki potensi pelanggaran terkait serangan tersebut.
Rangkaian Patch Keamanan Terbaru
Selain isu SD-WAN, Cisco baru-baru ini juga merilis pembaruan untuk dua kerentanan maksimum di Secure Firewall Management Center (FMC), yakni:
- CVE-2026-20079
- CVE-2026-20131
Kedua celah tersebut memungkinkan penyerang tanpa autentikasi memperoleh akses root dan menjalankan kode arbitrer pada perangkat yang belum ditambal.
Rekomendasi untuk Administrator
Mengacu pada eksploitasi aktif yang telah dikonfirmasi, Cisco sangat menyarankan pelanggan untuk segera melakukan upgrade ke versi perangkat lunak yang telah diperbaiki.
Lingkungan SD-WAN dan manajemen jaringan merupakan target bernilai tinggi bagi pelaku ancaman karena memberikan kontrol luas atas lalu lintas dan perangkat jaringan. Oleh karena itu, penundaan pembaruan dapat meningkatkan risiko kompromi berskala besar.