Angriparna rörde sig fritt i månader — med hjälp av en sårbarhet Cisco inte kände till

Angriparna var redan inne — länge innan larmet gick

Det är en obehaglig tanke: att en okänd aktör redan rör sig i din nätverksinfrastruktur, medan varken du eller tillverkaren av din programvara ens vet att dörren står öppen. Det är precis vad som hände med Ciscos Catalyst SD-WAN Manager, enligt en ny rapport från Mandiant, Googles säkerhetsforskningsenhet.

Sårbarheten, registrerad under beteckningen CVE-2026-20245, är inte vilken brist som helst. Den finns i kommandoradsgränssnittet i SD-WAN Manager och gör det möjligt för en angripare med lokal behörighet att eskalera sina rättigheter till högsta systemnivå — så kallad root-åtkomst — via särskilt utformade filer. Med andra ord: kommer man först in, kan man sedan ta full kontroll.

Cisco offentliggjorde sårbarheten i början av juni och släppte korrigerande programuppdateringar ungefär en vecka senare. Men skadan hade redan skett.

Steg för steg — en attack med kirurgisk precision

Mandiants utredning inleddes tidigt under 2026, efter att forskarna observerat en oidentifierad hotaktör som riktade in sig på SD-WAN-infrastruktur hos en tjänsteleverantör. I mars fick angriparna initial åtkomst till ett SD-WAN Manager-system via SSH — med hjälp av ett standardkonto kallat vmanage-admin.

Därefter utnyttjades CVE-2026-20245 för att trappa upp behörigheterna till root-nivå. Det anmärkningsvärda är inte bara att det fungerade, utan hur omsorgsfullt angriparna försökte dölja sina spår. De ändrade ett administratörskontots lösenord och återställde det sedan till ursprungsvärdet — med stor sannolikhet för att undvika att utlösa säkerhetslarm baserade på kontobeteende.

Detta är inte slarvig opportunism. Det är målinriktat och metodiskt.

Standardkonton — ett olöst grundproblem

Att intrånget inleddes via ett standardkonto är värt att stanna vid. Standardinloggningar i nätverksutrustning är ett känt problem som diskuterats i säkerhetskretsar i decennier, och ändå dyker det upp gång på gång i haveriutredningar. Det handlar inte om avancerad teknik — det handlar om konfigurationsslapphet och bristande rutiner vid driftsättning.

För svenska organisationer som använder SD-WAN-lösningar — vilket är vanligt inom både offentlig sektor och telekombranschen — bör det här vara en väckarklocka. Frågan att ställa sig är inte bara "har vi uppdaterat?", utan "vet vi ens vad som rör sig i vår infrastruktur just nu?"

Sjunde dokumenterade bristen i år — ett mönster träder fram

Det är också värt att notera att CVE-2026-20245 är den sjunde dokumenterade sårbarheten i Cisco SD-WAN-produkter vars utnyttjande bekräftats under 2026. Det är inte en slump — det är ett mönster. SD-WAN-lösningar har blivit ett prioriterat mål för avancerade hotaktörer, sannolikt för att de sitter i hjärtat av nätverksarkitekturen och ger bred åtkomst vid ett lyckat intrång.

Detta ställer krav på ett mer proaktivt förhållningssätt. Traditionell sårbarhetsskanning och månatliga programuppdateringscykler räcker inte när angriparna mäter sin framledning i månader. Organisationer behöver investera i kontinuerlig nätverksövervakning, beteendeanalys och — inte minst — en tydlig ansvarskedja för kritisk infrastruktur.

Vad bör svenska organisationer göra nu?

Konkret finns det flera åtgärder som är rimliga att vidta omedelbart:

• Granska och inaktivera standardkonton i all nätverksutrustning, inte bara Cisco-produkter.
• Verifiera att säkerhetsuppdateringen för CVE-2026-20245 är installerad om Catalyst SD-WAN används i er miljö.
• Genomför en logganalys för att utesluta att ovanliga beteenden skett under de senaste månaderna — med särskilt fokus på SSH-åtkomst och behörighetseskaleringar.
• Inför minsta möjliga behörighet som princip: ingen process eller användare ska ha mer åtkomst än vad uppdraget faktiskt kräver.

Det är lätt att se sådana här nyheter som abstrakta, som något som händer "någon annanstans". Men SD-WAN är utbredd teknik i svenska nätverk, och hotaktörerna som Mandiant beskriver gör inte geografiska undantag.