Threat Response - Multiple vulnerabilities in Cisco Catalyst SD-WAN Controller and Manager

Cisco has disclosed several vulnerabilities in their SD-WAN products, of which one flagged as critical. Organizations using Cisco Catalyst SD-WAN Controller and Manager should take immediate action to protect their networks.

Description
Cisco has fixed 4 vulnerabilities in their Catalyst SD-WAN Controller and Manager products (CVE-2026-20182, CVE-2026-20210, CVE-2026-20224 and CVE-2026-20209 as mentioned by NCSC [1]). These vulnerabilities include XXE-injection, privilege escalation, and authentication bypass. The most serious issue is an authentication bypass vulnerability in the peering authentication mechanism (CVE-2026-20182). This allows unauthenticated attackers from the internet to gain elevated privileges without needing a password. Once inside, attackers can manipulate network configurations and potentially disrupt network operations. SD-WAN controllers that are accessible via public networks face the highest risk of exploitation.

Impact
We estimate the impact of these vulnerabilities as Critical. The authentication bypass vulnerability (CVE-2026-20182) has a CVSS score of 10.0, the highest possible severity rating. Successful exploitation allows attackers to gain complete control over your SD-WAN infrastructure without authentication. This means attackers can modify network configurations, intercept traffic, and disrupt business-critical network operations. The other vulnerabilities have CVSS scores ranging from 5.4 to 8.6 (CVE-2026-20210, CVE-2026-20224 and CVE-2026-20209).

Risk
We estimate the risk of these vulnerabilities as Critical. Cisco has confirmed that the authentication bypass vulnerability is already being exploited in limited, targeted attacks [2]. The NCSC expects scanning and exploitation attempts to increase significantly in the near future. Any SD-WAN controller exposed to the internet is at immediate risk of compromise.

Mitigation

1. Cisco has released security updates to fix these vulnerabilities. Install the latest patches immediately, especially for internet-facing SD-WAN controllers.
2. Cisco has also published Indicators of Compromise (IoCs) that can help detect if your systems have already been targeted [2]. Review your network logs for suspicious activity using these IoCs.

What should you do?

1. Identify all Cisco Catalyst SD-WAN Controller and Manager systems in your environment.
2. Apply Cisco's security updates immediately, prioritizing internet-facing systems. Important: To preserve possible indicators of compromise, issue the ‘request admin-tech’ command from each of the control components in the SD-WAN deployment before upgrading. After the admin-tech file has been collected, software should be upgraded at the earliest opportunity.
3. Review the IoCs provided by Cisco and check your logs for signs of exploitation.
4. If patching cannot be done immediately, consider temporarily restricting network access to these systems.
5. If you need help determining if your Cisco Catalyst SD-WAN Controller and Manager is compromised, consider opening a case with the Cisco Technical Assistance Center (TAC) with ‘Severity 3’ and ‘CVE-ID CVE-2026-20182’ added in the title (see source [2]).

What will Northwave do?
We will continue to monitor for suspicious activity related to these vulnerabilities. If new critical information arises, we will contact you.

E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000

Disclaimer applies, see below.
Sources
[1] https://advisories.ncsc.nl/2026/ncsc-2026-0157.html
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW

Cisco heeft verschillende kwetsbaarheden bekendgemaakt in hun SD-WAN-producten, waarvan er een als kritiek is geclassificeerd. Organisaties die Cisco Catalyst SD-WAN Controller en Manager gebruiken, dienen onmiddellijk actie te ondernemen om hun netwerken te beschermen.

Cisco heeft 4 kwetsbaarheden verholpen in hun Catalyst SD-WAN Controller- en Manager producten (CVE-2026-20182, CVE-2026-20210, CVE-2026-20224 en CVE-2026-20209 zoals vermeld door het NCSC [1]). Deze kwetsbaarheden omvatten onder andere XXE-injectie, privilege-escalatie en het omzeilen van authenticatie.De meest kritieke kwetsbaarheid bevindt zich in het peering authenticatiemechanisme (CVE-2026-20182) waardoor authenticatie van buitenaf kan worden omzeild. Hierdoor kunnen niet-geauthenticeerde aanvallers vanaf het internet verhoogde rechten verkrijgen zonder een wachtwoord nodig te hebben. Eenmaal binnen kunnen aanvallers netwerkconfiguraties manipuleren en mogelijk netwerkactiviteiten verstoren. SD-WAN-controllers die via publieke netwerken toegankelijk zijn, lopen het grootste risico op misbruik.

Wij schatten de impact van deze kwetsbaarheden als Kritiek.De kwetsbaarheid waarbij authenticatie kan worden omzeild (CVE-2026-20182) heeft een CVSS-score van 10,0, de hoogst mogelijke score. Succesvolle exploitatie stelt aanvallers in staat om volledige controle te krijgen over een SD-WAN-infrastructuur zonder authenticatie. Dit betekent dat aanvallers netwerkconfiguraties kunnen aanpassen, verkeer kunnen onderscheppen en bedrijfskritische netwerkactiviteiten kunnen verstoren.De andere kwetsbaarheden hebben CVSS-scores variërend van 5,4 tot 8,6 (CVE-2026-20210, CVE-2026-20224 en CVE-2026-20209).

Wij schatten het risico van deze kwetsbaarheden als Kritiek.Cisco heeft bevestigd dat de kwetsbaarheid waarbij authenticatie kan worden omzeild al wordt misbruikt in beperkte, gerichte aanvallen [2]. Het NCSC verwacht dat scan- en exploitatiepogingen in de nabije toekomst aanzienlijk zullen toenemen. Elke SD-WAN-controller die aan het internet is blootgesteld, loopt direct risico op compromittering.

1. Cisco heeft beveiligingsupdates uitgebracht om deze kwetsbaarheden te verhelpen. Installeer zo snel mogelijk de nieuwste patches, met name voor SD-WAN-controllers die via het internet toegankelijk zijn.
2. Cisco heeft tevens Indicators of Compromise (IoC’s) gepubliceerd die kunnen helpen vaststellen of uw systemen al doelwit zijn geweest [2]. Controleer de netwerk logs op verdachte activiteit aan de hand van deze IoCs.

1. Identificeer alle Cisco Catalyst SD-WAN Controller- en Manager systemen in uw omgeving.
2. Pas de beveiligingsupdates van Cisco onmiddellijk toe, met prioriteit voor systemen die aan het internet blootstaan. Belangrijk: Om mogelijke Indicators of Compromise te behouden, voer het commando ‘request admin-tech’ vóór upgraden uit op elk van de control-componenten in de SD-WAN-omgeving. Nadat het admin-tech-bestand is verzameld, kan er naar de meest recente versie bijgewerkt worden.
3. Bekijk de IoCs die door Cisco zijn verstrekt en controleer uw logs op tekenen van misbruik.
4. Indien patchen niet direct mogelijk is, overweeg tijdelijk de netwerktoegang tot deze systemen te beperken.
5. Indien u hulp nodig heeft om te bepalen of uw Cisco Catalyst SD-WAN Controller en Manager is gecompromitteerd, overweeg een case te openen bij het Cisco Technical Assistance Center (TAC) met ‘Severity 3’ en ‘CVE-ID CVE-2026-20182’ in de titel [2].

Wij zullen blijven monitoren op verdachte activiteiten gerelateerd aan deze kwetsbaarheden. Indien er nieuwe kritieke informatie beschikbaar komt, nemen wij contact met u op.

E-mail: soc@northwave-cybersecurity.com

Heeft u op dit moment een incident? Bel ons Incident Response Team: 00800 1744 0000

Disclaimer van toepassing, zie onderaan.

Bronnen
[1] https://advisories.ncsc.nl/2026/ncsc-2026-0157.html
[2] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW

Disclaimer