KTK varoittaa: Cisco SD-WAN -haavoittuvuutta hyödynnetään jo aktiivisesti

Täydet kymmenen pistettä kymmenestä. Sen pahempaa arvosanaa haavoittuvuus ei voi CVSS-asteikolla saada, ja juuri sellaisen Kyberturvallisuuskeskus antoi tällä viikolla Ciscon Catalyst SD-WAN -tuotteille. Varoitus haavoittuvuus 2026-14 koskee virhettä, jolle ei ole väliaikaista kiertotapaa. Auttaa vain korjauspäivitys.

Kyseessä on virhe tunnisteella CVE-2026-20182. Se vaikuttaa kahteen tuotteeseen: Cisco Catalyst SD-WAN Controller ja Cisco Catalyst SD-WAN Manager, joka tunnettiin aiemmin nimellä vManage. Kaikki käyttöönottotavat ovat alttiita virheelle riippumatta siitä, miten laitteet on määritelty.

SD-WAN tarkoittaa keskitetysti hallittua yritysverkkoa, jonka kautta organisaation eri toimipisteet kytkeytyvät toisiinsa ja verkkoon. Hallintatuotteet ovat tuon kokonaisuuden aivot.

Juuri siksi tämä virhe on niin vakava. Todentamaton ja etäyhteyden päässä oleva hyökkääjä voi Kyberturvallisuuskeskuksen sanoin "ohittaa todennuksen ja saada laitteelle pääsyn korotetuin oikeuksin". Sieltä käsin koko SD-WAN-verkon kokoonpanoa voi muokata vapaasti.

Haltuun otetulta ohjaimelta hyökkääjä yltää jokaisen verkkoon kytketyn toimipisteen asetuksiin. Liikennettä voidaan ohjata uudelleen tai vakoilla koko organisaation laajuudelta, ei vain yhdellä laitteella. Yhdestä murretusta hallintatuotteesta vaikutus ulottuu siis kerralla läpi koko yritysverkon.

Hyväksikäyttö on jo käynnissä

Tämä ei ole teoreettinen riski. Kyberturvallisuuskeskus muotoilee asian suoraan:

– Haavoittuvuuden aktiivista hyväksikäyttöä on havaittu.

Ciscon oma tietoturvatiimi vahvisti toukokuussa 2026 havainneensa toistaiseksi rajattua hyväksikäyttöä. Yhtiön uhkatiedusteluyksikkö Talos seuraa, mitä hyökkääjät tekevät murron jälkeen, ja yhdistää toiminnan järjestäytyneeseen tekijään, jolle se on antanut tunnisteen UAT-8616. Kyse ei siis ole satunnaisesta verkon kartoituksesta vaan tavoitteellisen toimijan työstä.

Yhdysvaltain kyberturvallisuusviranomainen CISA lisäsi CVE-2026-20182:n 14. toukokuuta tunnetusti hyväksikäytettyjen haavoittuvuuksien luetteloonsa. Listaus tuli kovan takarajan kanssa. Yhdysvaltain liittovaltion virastot velvoitettiin korjaamaan virhe viimeistään 17. toukokuuta 2026, mikä kertoo siitä, kuinka kiireellisenä viranomaiset tilannetta pitävät. Kun virhe päätyy tuolle listalle, se ei ole enää uhka vaan tapahtumassa oleva tosiasia.

Cisco on julkaissut korjatut ohjelmistoversiot. Tarkat versionumerot löytyvät yhtiön omasta tiedotteesta, johon kannattaa palata, ennen kuin päivityksiin ryhtyy. Muuta korjausta ei ole, sillä virhettä ei voi sulkea pois asetuksia muuttamalla. Tämä erottaa sen monista lievemmistä haavoittuvuuksista, joiden riskiä voi pienentää väliaikaisin rajauksin.

Mitä tehdä

SD-WAN Controller ja Manager ovat yritys- ja operaattoritason hallintalaitteita. Tavallisen pienyrityksen konttorista niitä ei löydy. Suomessa niitä käyttävät yritykset, julkishallinnon organisaatiot ja palveluntarjoajat, ja suora kohdeyleisö on näiden it-tiimit.

Entä pienempi yritys, jonka verkon hoitaa joku muu?

Moni pk-yritys saa verkkoyhteytensä operaattorin tai hallinnoidun palvelun kautta. Nuo ohjaimet pyörivät tällöin kumppanin konesalissa.

Käytännön askel on yksi ja varsin yksinkertainen. Kysy verkkoasi hoitavalta palveluntarjoajalta, onko Cisco-haavoittuvuus 2026-14 jo korjattu.

It-tiimeille Kyberturvallisuuskeskus antaa selkeän ohjeen:

• Tunnista, mitkä järjestelmät ovat alttiita virheelle.
• Varmista, että laitteiden lokitus on kunnossa.
• Asenna Ciscon uusimmat korjauspäivitykset viivyttelemättä.
• Etsi merkkejä mahdollisesta tietomurrosta lokeista ja verkkoliikenteestä.
• Ilmoita havaitusta hyväksikäytöstä viranomaisille.

Havainnot hyväksikäytöstä voi ilmoittaa osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Maksimitason haavoittuvuuden kohdalla viive on aina hyökkääjän puolella. Kun korjaus on saatavilla ja virhettä jo käytetään, jokainen päivittämätön ohjain on auki niin kauan kuin se odottaa vuoroaan.