Am 9. Juni 2026 hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) drei Schwachstellen aufgenommen in den Katalog Known Exploited Vulnerabilities (KEV) und damit ihre aktive Ausnutzung bestätigt. Darunter befinden sich ein kritischer Defekt in Netzwerkgeräten von Arista, für den der Hersteller grundsätzlich die Bereitstellung eines Patches verweigert, eine Schwachstelle im Cisco Catalyst SD-WAN Manager mit der Möglichkeit, Befehle mit root-Rechten auszuführen, sowie ein Fehler in der V8-Engine des Browsers Google Chrome, der Remote Code Execution zulässt. US-Bundesbehörden wurde angewiesen, die Bedrohungen bis zum 23. Juni 2026 zu beseitigen.
Technische Details der Schwachstellen
CVE-2026-20245 — Cisco Catalyst SD-WAN Manager
Die Schwachstelle CVE-2026-20245 (CVSS 7.8) steht im Zusammenhang mit einer fehlerhaften Verarbeitung der Kodierung bzw. Maskierung (Escaping) von Ausgabedaten in Cisco Catalyst SD-WAN Manager. Nach vorliegenden Erkenntnissen kann ein authentifizierter lokaler Angreifer beliebige Befehle mit Privilegien von root ausführen, indem er der verwundbaren Maschine eine speziell präparierte Datei übergibt. Trotz der Voraussetzung von lokalem Zugriff und Authentifizierung macht die Eskalation auf root-Rechte diese Schwachstelle zu einer ernstzunehmenden Bedrohung für Organisationen, die Cisco-SD-WAN-Infrastrukturen einsetzen.
CVE-2026-11645 — Google Chrome V8
Die Schwachstelle CVE-2026-11645 (CVSS 8.8) ist ein Lese- und Schreibfehler außerhalb des zugewiesenen Puffers (Out-of-Bounds Read/Write) in der JavaScript-Engine V8 des Browsers Google Chrome. Ein entfernter Angreifer kann dem Vernehmen nach durch eine speziell präparierte HTML-Seite die Ausführung beliebigen Codes innerhalb der Browser-Sandbox erreichen. Dies ist der höchste CVSS-Score unter den drei hinzugefügten Schwachstellen, und der Angriffsvektor über eine Webseite macht sie potenziell massenhaft ausnutzbar.
CVE-2026-7473 — Arista EOS
Die Schwachstelle CVE-2026-7473 (CVSS 6.9) betrifft das Arista Extensible Operating System (EOS) und verdient besondere Beachtung aufgrund der Entscheidung des Herstellers, keinen Patch bereitzustellen. Das Problem wird als unvollständiger Vergleich mit fehlenden Prüf-Faktoren klassifiziert: Auf betroffenen Plattformen mit konfigurierter Tunnel-Decapsulation (VXLAN, GRE oder Decap-Gruppen) verarbeitet und leitet der Switch unerwartete getunnelte Pakete fehlerhaft weiter, wenn deren Ziel-IP-Adresse mit der konfigurierten Decapsulation-IP übereinstimmt.
Die Ursache liegt darin, dass der Switch den Typ des Tunnelprotokolls nicht prüft, was zur Verarbeitung nicht legitimen Tunnelverkehrs führt. Betroffen sind die Geräteserien:
- Arista 7020R
- Arista 7280R/R2
- Arista 7500R/R2
Für eine erfolgreiche Ausnutzung muss das Gerät als Tunnelendpunkt mit einer Decapsulation-IP-Adresse konfiguriert sein – etwa als VXLAN VTEP, GRE-Tunnelendpunkt oder mit einer konfigurierten IP-Decap-Gruppe.
Verzicht von Arista auf einen Patch: Analyse der Situation
Der ungewöhnlichste Aspekt dieses Vorfalls ist die offizielle Position von Arista: Das Unternehmen hat bestätigt, dass CVE-2026-7473 in realen Angriffen ausgenutzt wird, erklärte jedoch, dass kein Patch veröffentlicht wird. Als Grund wird das Risiko angeführt, den Betrieb bestehender Konfigurationen in ausgerollten Umgebungen zu beeinträchtigen. Die Entdeckung der Schwachstelle wird Forschenden von Comcast zugeschrieben: Scott Christiansen, Lucas Peitz, Rich Compton und Jonathan Davis.
Dies bringt Betreiber von Netzwerkgeräten von Arista in eine schwierige Lage: Die Schwachstelle wird aktiv ausgenutzt, ist im KEV-Katalog gelistet, doch der einzige Schutzweg besteht in der manuellen Umsetzung von Workarounds. Für US-Bundesbehörden, die zur Einhaltung der Direktive BOD 22-01 verpflichtet sind, bedeutet dies, dass sie Mitigations in sehr kurzer Zeit umsetzen müssen, ohne einfach ein Update installieren zu können.
Bewertung der Auswirkungen
Die drei Schwachstellen betreffen grundsätzlich unterschiedliche Infrastrukturbereiche. CVE-2026-20245 bedroht das zentrale SD-WAN-Management – eine Kompromittierung des Managers kann einem Angreifer die Kontrolle über das gesamte Software-Defined Network verschaffen. CVE-2026-11645 in Chrome V8 betrifft praktisch jede Organisation, die einen auf Chromium basierenden Browser einsetzt, auch wenn die Codeausführung auf die Sandbox beschränkt ist. CVE-2026-7473 in Arista EOS stellt eine Bedrohung für Rechenzentren und große Netzwerkinfrastrukturen dar, in denen VXLAN-Fabrics und GRE-Tunnel Standardbausteine der Architektur sind.
Das Fehlen eines Patches für Arista EOS schafft ein langfristiges Risiko: ACL-Regeln erfordern eine kontinuierliche Pflege und können insbesondere in komplexen Umgebungen mit dynamischem Routing fehlerhaft konfiguriert sein.
Praktische Empfehlungen
Für Arista EOS (CVE-2026-7473):
- Prüfen, ob das Gerät als Tunnel-Endpunkt konfiguriert ist (VXLAN VTEP, GRE endpoint, IP decap-group)
- Access-Control-Listen (ACL) auf übergeordneten Geräten einsetzen, um nicht legitimen Tunnelverkehr zu filtern
- Alternativ ACL direkt auf den betroffenen Switches konfigurieren, um unerwartete Decapsulation zu blockieren
- Ziel beider Strategien ist es, nur legitimen Tunnelverkehr zuzulassen oder gezielt schädlichen zu blockieren
Für Cisco SD-WAN Manager (CVE-2026-20245):
- Das Update von Cisco installieren, sobald es verfügbar ist
- Den lokalen Zugriff auf SD-WAN-Managementsysteme einschränken, die Anzahl privilegierter Konten minimieren
- Uploads von Dateien auf die Managementplattform überwachen
Für Google Chrome (CVE-2026-11645):
- Chrome und alle auf Chromium basierenden Browser auf die jeweils neueste verfügbare Version aktualisieren
- Sicherstellen, dass automatische Update-Mechanismen in der Unternehmensumgebung aktiv sind
Organisationen, die den Vorgaben der CISA unterliegen, müssen die Umsetzung von Patches oder Mitigations für alle drei Schwachstellen bis zum 23. Juni 2026 abschließen. Angesichts des fehlenden Patches für Arista EOS sollte die sofortige Überprüfung der Konfigurationen von Tunnelendpunkten auf den betroffenen Geräteserien und die Einführung von ACL-Filtern Priorität haben – dies ist derzeit die einzige verfügbare Schutzmaßnahme gegen CVE-2026-7473.
