Mastodon Mastodon Mastodon Mastodon

Aktiv ausgenutzte Schwachstelle CVE-2026-20245 in Cisco Catalyst SD-WAN Manager

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Cisco hat die aktive Ausnutzung der Schwachstelle CVE-2026-20245 (CVSS 7.8) in Cisco Catalyst SD-WAN Manager bestätigt. Sie ermöglicht es einem authentifizierten lokalen Angreifer, durch das Hochladen einer speziell präparierten Datei beliebige Befehle mit root-Rechten auszuführen. Ein Patch ist derzeit nicht verfügbar. Die Schwachstelle betrifft alle Bereitstellungstypen – von lokalen Installationen bis hin zu Cloud- und Government-(FedRAMP-)Konfigurationen. Cisco hat Fälle dokumentiert, in denen die Ausnutzung zu Konfigurationsänderungen an peripheren Geräten geführt hat, was eine direkte Bedrohung für die Integrität der gesamten SD-WAN-Infrastruktur darstellt.

Technische Details der Schwachstelle

Laut dem offiziellen Cisco-Sicherheitshinweis befindet sich die Schwachstelle in der Command-Line-Interface (CLI) von Cisco Catalyst SD-WAN Manager (ehemals SD-WAN vManage). Die Ursache ist eine unzureichende Validierung der Benutzereingaben. Ein Angreifer kann, indem er eine speziell vorbereitete Datei in das System hochlädt, eine Befehlsinjektion durchführen und seine Privilegien bis auf root-Ebene erhöhen.

Betroffene Bereitstellungstypen:

  • Lokale Installationen (On-Prem Deployment)
  • Cisco SD-WAN Cloud-Pro
  • Cisco SD-WAN Cloud (von Cisco gemanagt)
  • Cisco SD-WAN for Government (FedRAMP)

Eine zentrale Einschränkung: Für die Ausnutzung von CVE-2026-20245 benötigt der Angreifer Privilegien auf netadmin-Ebene. Cisco weist ausdrücklich darauf hin, dass ein solcher Zugriff auf zwei Arten erlangt werden kann – über gültige Zugangsdaten oder durch Ausnutzung einer der beiden Schwachstellen zur Umgehung der Authentifizierung: CVE-2026-20182 oder CVE-2026-20127. Weitere bestätigte Methoden zur Erlangung des initialen Zugangs hat das Unternehmen nicht festgestellt.

Angriffskette: von der Umgehung der Authentifizierung bis root

Gerade die Kombination der Schwachstellen macht die Situation besonders gefährlich. CVE-2026-20182 (CVSS 10.0) stellt den Angaben zufolge eine Umgehung der Authentifizierung dar, die es einem nicht authentifizierten entfernten Angreifer ermöglicht, administrative Privilegien zu erlangen. Eine ähnlich gelagerte Schwachstelle CVE-2026-20127 (NVD) betrifft dieselbe Komponente. Nach Angaben des Ausgangsmaterials wurden beide Schwachstellen als Zero-Day-Schwachstellen ausgenutzt.

Damit ergibt sich eine zweistufige Angriffskette:

  1. Initialer Zugang: Ausnutzung von CVE-2026-20182 oder CVE-2026-20127 zur Umgehung der Authentifizierung und zum Erlangen administrativer Privilegien (netadmin)
  2. Privilegienerweiterung: Upload einer bösartigen Datei über die CLI zur Ausnutzung von CVE-2026-20245 und Erlangung von root-Zugriff

Diese Kette verwandelt eine Schwachstelle mit CVSS 7.8, die lokale Authentifizierung erfordert, faktisch in einen entfernten Angriff mit vollständiger Kompromittierung des Systems – vorausgesetzt, die vorgelagerten Schwachstellen zur Umgehung der Authentifizierung sind nicht behoben.

Beobachtete Aktivität und Indikatoren einer Kompromittierung

Cisco berichtete von einer begrenzten Anzahl von Fällen, in denen die Ausnutzung von CVE-2026-20245 zu Konfigurationsänderungen führte, die auf periphere Geräte ausgerollt wurden. Das bedeutet, dass Angreifer nicht nur Zugang zur Management-Plattform erhalten, sondern auch die Konfiguration der gesamten SD-WAN-Fabric – Router und Access Points am Rand des Netzwerks – beeinflussen können.

Die Schwachstelle wurde von den Google-Mandiant-Forschern Chester Sng, Pete Boonyakarn und Logeswaran Nadarajan entdeckt und gemeldet. Wer hinter der beobachteten Ausnutzung steht, ist derzeit nicht bekannt.

Zur Erkennung von Kompromittierungsanzeichen empfiehlt Cisco, die Datei /var/log/scripts.log auf verdächtige Einträge zu prüfen. Beispiele für Indikatoren:

  • Einträge mit Pfaden zu ungewöhnlichen Dateien, zum Beispiel: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
  • Legitime Einträge zum Vergleich: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
  • Legitime Einträge: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv

Besondere Aufmerksamkeit sollte ungewöhnlichen Dateinamen in den Argumenten der Upload-Skripte sowie Einträgen gelten, die nicht den typischen Wartungsoperationen entsprechen.

Ausmaß des Problems: Systemkrise bei Cisco SD-WAN

Nach Angaben des Ausgangsmaterials ist CVE-2026-20245 bereits die siebte Schwachstelle in Cisco SD-WAN, die in diesem Jahr den Status „aktiv ausgenutzt“ erhalten hat. Zuvor wurden Angriffe über CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 und CVE-2022-20775 festgestellt – zusätzlich zu den genannten CVE-2026-20182 und CVE-2026-20127.

Eine derart hohe Konzentration aktiv ausgenutzter Schwachstellen in einem Produkt weist auf ein anhaltendes Interesse von Angreifern an SD-WAN-Infrastrukturen als Einstiegspunkt in Unternehmensnetzwerke hin. SD-WAN-Management-Plattformen steuern Routing, Sicherheitsrichtlinien und die Konfiguration von Dutzenden oder Hunderten peripheren Geräten – ihre Kompromittierung verschafft dem Angreifer einen Hebel, um die gesamte verteilte Netzwerkumgebung zu beeinflussen.

Cisco weist außerdem darauf hin, dass Systeme, die aus dem Internet erreichbar sind, einem erhöhten Risiko einer Kompromittierung ausgesetzt sind.

Empfehlungen zur Reaktion

Da für CVE-2026-20245 derzeit kein Patch verfügbar ist und keine Workarounds vorgeschlagen wurden, liegen die priorisierten Maßnahmen auf der Beseitigung der vorgelagerten Schwachstellen in der Angriffskette sowie auf Monitoring:

  1. Unverzüglich die Patches für CVE-2026-20182 einspielen, die am 14. Mai 2026 veröffentlicht wurden. Dies blockiert den primären Vektor für den initialen Zugang, der für die Ausnutzung von CVE-2026-20245 erforderlich ist
  2. Die Datei /var/log/scripts.log prüfen – auf allen Instanzen von SD-WAN Manager auf anomale Einträge mit ungewöhnlichen Dateipfaden
  3. Zugriff auf SD-WAN Manager aus dem Internet einschränken – die Management-Schnittstelle aus dem öffentlichen Zugriff entfernen, sofern dies noch nicht geschehen ist
  4. Audit der Konten mit netadmin-Privilegien durchführen – sicherstellen, dass keine unautorisierten Accounts existieren
  5. Konfigurationen peripherer Geräte prüfen auf unautorisierte Änderungen, vor dem Hintergrund bestätigter Fälle, in denen bösartige Konfigurationen auf Edge-Geräte ausgerollt wurden

Organisationen, die Cisco Catalyst SD-WAN Manager in irgendeiner Form der Bereitstellung einsetzen, müssen diese Situation als Sicherheitsvorfall betrachten, der ein sofortiges Handeln erfordert: Die aktive Ausnutzung ist bestätigt, ein Patch fehlt, und der einzige verfügbare Schutz besteht in der Beseitigung der vorgelagerten Authentifizierungs-Schwachstellen und intensiviertem Monitoring. Priorität Nummer eins ist, sicherzustellen, dass die Patches für CVE-2026-20182 auf allen Instanzen installiert sind und dass die Management-Schnittstellen vom direkten Internetzugang isoliert sind.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen