Cisco baru saja mengeluarkan peringatan darurat terkait kerentanan kritis pada Cisco Catalyst SD-WAN Controller. Kerentanan yang dilacak sebagai CVE-2026-20182 ini sedang dieksploitasi secara aktif dalam serangan zero-day, memungkinkan peretas untuk mendapatkan akses administratif pada perangkat yang terkompromi.
Celah ini mendapatkan skor keparahan maksimum, yakni CVSS 10.0, dan memengaruhi penerapan Cisco Catalyst SD-WAN Controller serta SD-WAN Manager, baik di lingkungan on-premise maupun cloud.
Akar Masalah: Mekanisme Autentikasi yang Gagal
Menurut peringatan resmi Cisco, kerentanan ini bersumber dari mekanisme autentikasi peering yang tidak berfungsi sebagaimana mestinya.
- Metode Eksploitasi: Penyerang dapat mengeksploitasi celah ini dengan mengirimkan permintaan yang dimanipulasi (crafted requests) ke sistem yang rentan.
- Dampak Akses: Jika berhasil, penyerang dapat masuk ke pengontrol SD-WAN sebagai pengguna internal non-root dengan hak istimewa tinggi.
- Manipulasi Jaringan: Dengan akun ini, penyerang mendapatkan akses ke NETCONF, yang kemudian memungkinkan mereka memanipulasi seluruh konfigurasi jaringan pada infrastruktur SD-WAN.
Dengan mendaftarkan peer palsu, penyerang dapat menyusupkan perangkat berbahaya ke dalam lingkungan SD-WAN yang terlihat sah. Perangkat ini dapat membangun koneksi terenkripsi dan membuka jalur bagi peretas untuk bergerak lebih dalam ke jaringan organisasi.
Penemuan Celah dan Indikator Kompromi (IOC)
Celah ini pertama kali ditemukan oleh tim peneliti dari Rapid7 saat sedang menyelidiki kerentanan pengontrol SD-WAN Cisco lainnya (CVE-2026-20127) yang telah ditambal pada bulan Februari lalu.
Cisco mendeteksi adanya eksploitasi aktif sejak bulan Mei 2026. Untuk membantu administrator mendeteksi anomali, Cisco membagikan beberapa Indikator Kompromi (IOC):
- Tinjau File Log Autentikasi: Periksa
/var/log/auth.loguntuk mencari entri yang mencurigakan seperti:Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY] - Verifikasi IP Sistem: Bandingkan alamat IP di log dengan IP Sistem yang terdaftar di antarmuka web Cisco Catalyst SD-WAN Manager. Jika ada IP tidak dikenal yang berhasil masuk, perangkat harus segera dianggap telah terkompromi.
- Aktivitas Peering Ilegal: Tinjau log untuk mencari notifikasi pendaftaran perangkat rogue di dalam fabric SD-WAN, seperti pesan
control-connection-state-change new-state:up.
Langkah Mitigasi dan Pembaruan Wajib
Cisco menegaskan bahwa tidak ada solusi sementara (workaround) yang dapat sepenuhnya memitigasi masalah ini. Satu-satunya cara untuk mengamankan jaringan adalah dengan melakukan pembaruan ke rilis perangkat lunak yang telah diperbaiki.
Sebagai tambahan lapisan keamanan, administrator sangat disarankan untuk membatasi akses ke antarmuka manajemen dan control-plane SD-WAN hanya untuk jaringan internal yang tepercaya atau alamat IP yang diberi otorisasi.
Badan Keamanan Siber AS (CISA) juga telah memasukkan kerentanan ini ke dalam Katalog Kerentanan yang Dieksploitasi (Known Exploited Vulnerabilities) dan mewajibkan seluruh lembaga federal untuk menambal perangkat mereka selambat-lambatnya pada 17 Mei 2026.