← Terug naar Blog
Veiligheidsbriefing 8 min leestijd

Cisco SD-WAN Zero-Day CVE-2026-20127 Noodrichtlijn + Chinese Spionagecampagne

CISA geeft noodrichtlijn ED-26-03 uit voor Cisco SD-WAN zero-day CVE-2026-20127 (CVSS 10.0) — actief uitgebuit sinds 2023. Chinese UNC2814/GRIDTIDE campagne treft 53 organisaties in 42 landen. ShinyHunters comprometteert CarGurus (12,4M records) en Wynn Resorts. Ontwikkelaars supply chain onder beleg met nepgesprekken en kwaadaardige pakketten.


KRITIEK: Cisco SD-WAN Zero-Day — CISA Noodrichtlijn

CVE-2026-20127 — CVSS 10.0 — Patch deadline: 27 februari, 17:00 ET

CISA noodrichtlijn ED-26-03 verplicht alle federale agentschappen de kritieke authenticatie-omzeiling in Cisco Catalyst SD-WAN Controller en Manager te patchen voor morgen om 17:00 ET. Actief uitgebuit sinds 2023.

Dit is een volledige authenticatie-omzeiling die externe aanvallers toestaat om:

Uitbuitingsketen

Australian Signals Directorate ontdekte een geavanceerd aanvalspatroon:

  1. CVE-2026-20127 — Initiële authenticatie-omzeiling
  2. Toegang verkregen — Hoog geprivilegieerde non-root gebruiker
  3. Firmware downgrade — Rollback naar kwetsbare versie
  4. CVE-2022-20775 — Privilege escalatie naar root
  5. Firmware herstel — Bewijs wissen en toegang behouden

🗡️ KENSAI Detectie

Controleer /var/log/auth.log voor "Accepted publickey for vmanage-admin" van onbekende IP-adressen. Aanvallers gevolgd als UAT-8616 gebruiken deze vingerafdruk voor initiële toegang.


🇨🇳 Chinese Spionage: UNC2814/GRIDTIDE Treft 53 Organisaties

Massale Schaal: 53 Bevestigde Compromittering in 42 Landen

Google verstoorde een China-gerelateerde spionagecampagne gevolgd sinds 2017. UNC2814 gebruikte Google Sheets API voor C2 om kwaadaardig verkeer te vermommen als legitieme SaaS-oproepen.

De GRIDTIDE backdoor vertegenwoordigt een nieuwe evolutie in natiestaat-stealth:

Technische Innovatie

Omvang van Impact

Regio Bevestigde Compromittering Primaire Doelen
Azië-Pacific 23 organisaties Overheid, Telecom
Afrika 18 organisaties Overheid
Amerika 12 organisaties Telecom, Kritieke Infrastructuur
Totale Landen 42 landen 53 bevestigd + 20+ vermoed

Google beëindigde alle aanvallers Cloud Projecten, deactiveerde infrastructuur en sneed API-toegang af. Dit vertegenwoordigt een van de grootste gedocumenteerde natiestaat-campagnes van 2026.


ShinyHunters Dubbele Slag: CarGurus + Wynn Resorts

12,4 Miljoen CarGurus Records Gepubliceerd + Wynn Resorts Afpersing

ShinyHunters afpersingsgroep trof twee grote Amerikaanse bedrijven in dezelfde week — autoplatform CarGurus en casino-operator Wynn Resorts.

CarGurus Inbreuk

Wynn Resorts Inbreuk

ShinyHunters is onderdeel van de grotere SLH supergroep (Scattered LAPSUS$ + Scattered Spider + ShinyHunters) — een van 2026's meest prolifieke afpersingsoperaties.


Ontwikkelaars Supply Chain Onder Beleg

Nep Next.js Sollicitatiegesprek Campagne

Microsoft Defender: Nep Coderingstests Compromitteren Ontwikkelaars

Gecoördineerde campagne gebruikt nep Next.js repositories als sollicitatiegesprek "coderingstests" om ontwikkelaarsmachines te compromitteren via VS Code en npm run dev triggers.

Multi-stage uitvoering:

  1. Social engineering — Nep sollicitatiegesprek met coderingstest
  2. Kwaadaardige repo — Next.js project met verborgen payloads
  3. Auto-uitvoering — VS Code map openen, npm commando's triggeren backdoor
  4. Stage 1 — Host profiling + C2 registratie
  5. Stage 2 — Persistente toegang + data exfiltratie

Kwaadaardige NuGet Pakketten

Vier pakketten die ASP.NET ontwikkelaars targetten 4.500+ keer gedownload:

Pakketten exfiltreren ASP.NET Identity data (gebruikersaccounts, rollen, machtigingen) en vestigen localhost proxy relay naar aanvaller C2.

RoguePilot: GitHub Copilot Prompt Injectie

GEPATCHT: GitHub Issues Doorgegeven aan Copilot als Prompts

Orca Security ontdekte indirecte prompt injectie via GitHub issues. Kwaadaardige instructies verborgen in HTML commentaren werden verwerkt door Copilot in Codespaces, mogelijk GITHUB_TOKEN lekkend naar aanvallers.


Social Engineering Evolutie

SLH Rekruteert Vrouwen voor Vishing

Scattered LAPSUS$ Hunters (SLH) supergroep biedt $500-$1.000 per succesvolle oproep om vrouwen te rekruteren voor IT helpdesk vishing aanvallen. Het doel: verhoog succesratio door stem diversiteit en verminder achterdocht.

Aanvalsmethoden omvatten:


Juridische Gevolgen: L3Harris Executive Veroordeeld

87 Maanden Gevangenis: Verkoop Zero-Days aan Rusland

Peter Williams (39, Australiër), voormalig hoofd van L3Harris's Trenchant unit, veroordeeld voor verkoop 8 zero-day exploits aan Russische exploit broker Operation Zero voor tot $4M in cryptocurrency.

Zaakdetails:


Cijfers van Vandaag

Metriek Waarde
Cisco SD-WAN CVSS Score 10.0 (Kritiek)
Federale patch deadline 27 feb, 17:00 ET
UNC2814 gecompromitteerde organisaties 53 bevestigd
Landen beïnvloed door GRIDTIDE 42 landen
CarGurus records gelekt 12,4 miljoen
Kwaadaardige NuGet pakket downloads 4.500+
SLH vishing betaling per oproep $500-$1.000
L3Harris zero-day verkoopwaarde $4 miljoen

Prioriteiten van Vandaag

  1. URGENT: Patch Cisco SD-WAN CVE-2026-20127 voor 27 feb 17:00 ET
  2. AUDIT: Review auth logs voor "vmanage-admin" logins van onbekende IPs
  3. MONITOR: Google Sheets API verkeer voor GRIDTIDE C2 patronen
  4. BEVEILIG: Ontwikkelomgevingen — scan voor nep sollicitatiegesprek repos
  5. VALIDEER: NuGet pakketten in ASP.NET projecten (NCryptYo, DOMOAuth2_, etc.)
  6. TRAIN: Helpdesk personeel over vishing evolutie (stem diversiteit tactieken)
  7. UPDATE: SolarWinds Serv-U naar v15.5.4 (4 kritieke RCE kwetsbaarheden gepatcht)

Is Uw SD-WAN Infrastructuur Kwetsbaar?

KENSAI scant voor CVE-2026-20127 en andere kritieke netwerkinfrastructuur kwetsbaarheden. Noodscannen beschikbaar voor CISA richtlijn compliance.

Noodscan

Blijf veilig. Blijf waakzaam.

🗡️ KENSAI Beveiligingsteam

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home