Thought Leadership
Eine kritische Sicherheitslücke im Cisco Catalyst SD-WAN Manager wird aktiv ausnutzt. Derzeit gibt es noch keinen Patch für den Softwarefehler.
Cisco hat eine offizielle Warnung herausgegeben, wonach eine schwerwiegende Sicherheitslücke im Cisco Catalyst SD-WAN Manager, der früher unter dem Namen SD-WAN vManage bekannt war, aktiv von Angreifern ausgenutzt wird. Die Schwachstelle wird unter der Kennung CVE-2026-20245 geführt und besitzt einen CVSS-Risikowert von 7,8. Von dem Fehler betroffen sind verschiedene Bereitstellungsarten, darunter lokale Installationen (On-Prem), Cisco SD-WAN Cloud-Pro, die von Cisco verwaltete Cloud sowie die behördliche Variante Cisco SD-WAN for Government. Da zum aktuellen Zeitpunkt weder ein Sicherheits-Patch noch temporäre Behebungsmaßnahmen zur Verfügung stehen, weisen über das Internet erreichbare Systeme ein besonders hohes Kompromittierungsrisiko auf.
Fehler in Befehlszeilenschnittstelle bei Cisco
Der Fehler befindet sich in der Befehlszeilenschnittstelle (CLI) der Verwaltungssoftware und resultiert aus einer unzureichenden Überprüfung von Benutzereingaben. Angreifer können diese Schwachstelle ausnutzen, indem sie eine speziell präparierte Datei auf das betroffene System hochladen, was eine sogenannte Befehlsinjektion (Command Injection) auslöst. Cisco beschrieb das Risiko in einer Sicherheitsmitteilung wie folgt:
„Eine Schwachstelle in der CLI des Cisco Catalyst SD-WAN Managers, ehemals SD-WAN vManage, könnte es einem authentifizierten, lokalen Angreifer ermöglichen, beliebige Befehle als Root auszuführen, indem er eine manipulierte Datei an das betroffene System übermittelt.“
Cisco
Um den Angriff erfolgreich durchzuführen, muss der Akteur über administrative Rechte des Typs netadmin auf dem betroffenen System verfügen. Diese Rechte können entweder durch gültige Zugangsdaten erlangt oder durch die Kombination mit älteren Sicherheitslücken erzwungen werden. Hierfür kommen die Authentifizierungsumgehungen CVE-2026-20182 und CVE-2026-20127 in Betracht, die in der Vergangenheit bereits als Zero-Day-Lücken von der Bedrohungsgruppe UAT-8616 ausgenutzt wurden. In einigen dokumentierten Angriffsfällen führte die Ausnutzung bereits dazu, dass manipulierte Konfigurationsänderungen direkt an verbundene Edge-Geräte übertragen wurden. Entdeckt und gemeldet wurde der Fehler von Sicherheitsforschern der Google-Tochter Mandiant.
Empfehlungen zur Erkennung und Absicherung
Da ein direkter Patch für die Schwachstelle CVE-2026-20245 noch aussteht, empfiehlt der Hersteller dringend, die vorgelagerten Einfallstore zu schließen. Anwender sollten ihre SD-WAN-Software umgehend aktualisieren, um sicherzustellen, dass die am 14. Mai 2026 veröffentlichten Korrekturen für die kritische Lücke CVE-2026-20182 aktiv sind. Dies bricht die potenzielle Angriffskette auf.
Zur Identifizierung möglicher Kompromittierungen sollten Administratoren die Protokolldatei unter dem Pfad /var/log/scripts.log auf verdächtige Einträge untersuchen. Das Auftauchen von Skriptaufrufen mit ungewöhnlichen Dateipfaden wie bösartigen CSV-Dateien dient als Indikator für einen stattgefundenen Manipulationsversuch. CVE-2026-20245 ist bereits die siebte aktiv ausnutzte Schwachstelle in Cisco SD-WAN-Produkten im laufenden Kalenderjahr.
