Ein Zero-Day in Ciscos SD-WAN Manager wird gerade aktiv ausgenutzt – und es gibt keinen Patch
Cisco hat am Donnerstag eine dringende Sicherheitswarnung herausgegeben, die vor einer aktiv ausgenutzten Zero-Day-Sicherheitslücke in seinem Catalyst SD-WAN Manager warnt – dem zentralen Controller, der zur Verwaltung von Wide-Area-Netzwerkinfrastruktur in Unternehmensumgebungen eingesetzt wird. Es existiert kein Patch. Das Unternehmen rät seinen Kunden, eine andere Schwachstelle als teilweise Abschwächung zu umgehen, während der Fix entwickelt wird.
Die Schwachstelle, die als CVE-2026-20245 verfolgt wird, hat einen Schweregrad von 7,8. Sie betrifft die Befehlszeilenschnittstelle von Cisco Catalyst SD-WAN Manager in allen Bereitstellungsarten: vor Ort (On-Premises), in der Cloud, in der von Cisco verwalteten Cloud und in FedRAMP-Regierungsumgebungen.
Wie es funktioniert
Der Fehler resultiert aus einer unzureichenden Validierung von benutzerseitigen Eingaben. Ein Angreifer, der bereits netadmin-Berechtigungen erlangt hat – durch gültige Anmeldeinformationen, Diebstahl von Anmeldeinformationen oder durch die Verkettung dieses Exploits mit einer separaten Authentifizierungsumgehungsschwachstelle, CVE-2026-20182 – kann eine speziell präparierte Datei auf das System hochladen. Dieser Upload löst eine Befehlsinjektion aus, die den Zugriff des Angreifers auf Root auf dem SD-WAN Manager-Host eskaliert.
Von dort aus potenziert sich der Schaden schnell: Cisco hat "begrenzte Fälle" bestätigt, in denen aktive Ausnutzung zu unbefugten Konfigurationsänderungen führte, die auf Edge-Geräte im gesamten Wide-Area-Netzwerk des betroffenen Unternehmens übertragen wurden. Dabei handelt es sich nicht um ein theoretisches Risiko – es ist das, was Angreifer bereits getan haben.
Die Schwachstelle wurde Anfang Juni von Mandiant, der Cybersicherheitstochter von Google Cloud, entdeckt und an das Product Security Incident Response Team von Cisco gemeldet.
Was Sie jetzt tun sollten
Ciscos Sicherheitswarnung bietet keinen direkten Patch für CVE-2026-20245. Stattdessen empfiehlt das Unternehmen ein Upgrade auf Softwareversionen, die zwei frühere Schwachstellen beheben – CVE-2026-20182 und CVE-2026-20127 – die als Vorbedingungen für die Angriffskette dienen können. Die Behebung dieser Einstiegspunkte entfernt einen der primären Wege, über den Angreifer die für die Auslösung der Zero-Day-Sicherheitslücke erforderlichen Netadmin-Zugriffe erlangen.
Vor dem Upgrade fordert Cisco Administratoren auf, den Befehl request admin-tech von jeder Steuerkomponente ihrer SD-WAN-Bereitstellung auszuführen, um etwaige Indikatoren einer Kompromittierung für spätere forensische Untersuchungen zu erhalten. Um zu überprüfen, ob ein System bereits angegriffen wurde, sollten Administratoren die Datei /var/log/scripts.log auf verdächtige Versuche untersuchen, Tenant-Konfigurationsdaten auf vSmart-Controller hochzuladen.
Warum SD-WAN wichtig ist
Cisco Catalyst SD-WAN wird weltweit in Unternehmensnetzwerken, bei Internetdienstanbietern (ISPs), Regierungsbehörden und Betreibern kritischer Infrastrukturen eingesetzt. Der SD-WAN Manager ist das administrative Gehirn dieser Bereitstellungen – er steuert Routing-Richtlinien, Quality-of-Service-Regeln und Sicherheitsrichtlinien über potenziell Tausende von verbundenen Edge-Geräten.
Die Kompromittierung des Managers betrifft nicht nur ein Gerät. Sie verschafft Angreifern Hebelwirkung auf die gesamte Netzstruktur. Die Bestätigung, dass Exploit-Aktivitäten bereits zu Konfigurationsänderungen geführt haben, die auf Edge-Geräte übertragen wurden, bedeutet, dass dies kein theoretisches Unternehmensrisiko ist – es ist ein aktiver Vorfall, der sich in Organisationen abspielt, die noch keine Sicherheitsmaßnahmen angewendet haben.
Wenn Ihre Organisation Cisco Catalyst SD-WAN Manager einsetzt, behandeln Sie dies als P1. Überprüfen Sie Ihre Logs, bewahren Sie den forensischen Zustand vor dem Patchen und aktualisieren Sie sofort auf Versionen, die die vorausgesetzten Schwachstellen beheben.
Quelle: BleepingComputer | HelpNetSecurity