Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Free

Admin-Zugriff ohne Passwort: Cisco schließt kritische SD-WAN-Lücke : CVE-2026-20182 erlaubt Angreifern die Kontrolle über SD-WAN-Konfigurationen

Cisco warnt vor einer aktiv ausgenutzten Schwachstelle im Catalyst SD-WAN Controller. Die Lücke erreicht den Höchstwert 10,0 im Common Vulnerability Scoring System (CVSS) und erlaubt entfernten Angreifern ohne Anmeldung, Administratorrechte auf betroffenen Systemen zu erlangen.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 3 Min.

Cisco hat Sicherheitsupdates für eine besonders kritische Authentifizierungsumgehung im Catalyst SD-WAN Controller veröffentlicht. Die Schwachstelle wird als CVE-2026-20182 geführt und betrifft die Peering-Authentifizierung in Cisco Catalyst SD-WAN Controller, früher SD-WAN vSmart, sowie Cisco Catalyst SD-WAN Manager, früher SD-WAN vManage. Nach Angaben des Herstellers wurde die Lücke bereits aktiv ausgenutzt, wenn auch nur in begrenztem Umfang.

Cisco beschreibt das Problem als Fehler im Mechanismus zur Peering-Authentifizierung. Ein nicht authentifizierter, entfernter Angreifer kann präparierte Anfragen an ein verwundbares System senden und dadurch die Anmeldung umgehen. Gelingt der Angriff, erhält er Zugriff als interner, hochprivilegierter Nicht-Root-Benutzer. Von dort aus kann er Network Configuration Protocol (NETCONF) nutzen, um auf die Netzwerksteuerung zuzugreifen und die Konfiguration der SD-WAN-Fabric zu manipulieren.

Warum die Lücke so gefährlich ist

Bei SD-WAN-Umgebungen sitzt der Controller an einer sicherheitskritischen Stelle. Er steuert Richtlinien, Verbindungen und Konfigurationsänderungen über verteilte Netzwerkinfrastrukturen hinweg. Wer hier Administratorzugriff erlangt, greift nicht nur ein einzelnes System an, sondern potenziell die Steuerungsebene des gesamten Verbunds.

Cisco formuliert die Auswirkung so: Die Schwachstelle könne es einem „nicht authentifizierten, entfernten Angreifer ermöglichen, die Authentifizierung zu umgehen und Administratorrechte auf einem betroffenen System zu erhalten“. Besonders riskant sind Systeme, die über das Internet erreichbar sind und offene Ports anbieten.

Betroffen sind laut Cisco folgende Bereitstellungen:

  • On-Prem Deployment
  • Cisco SD-WAN Cloud-Pro
  • Cisco SD-WAN Cloud (Cisco Managed)
  • Cisco SD-WAN for Government (Federal Risk and Authorization Management Program, FedRAMP)

Nähe zu früherer Schwachstelle

Rapid7, das CVE-2026-20182 entdeckt hat, sieht technische Parallelen zu CVE-2026-20127. Auch diese ältere Schwachstelle erreichte mit 10,0 den Maximalwert im CVSS und betraf dieselbe Komponente. Sie soll seit mindestens 2023 von dem Bedrohungsakteur UAT-8616 ausgenutzt worden sein.

Die Rapid7-Forscher Jonah Burgess und Stephen Fewer betonen jedoch, dass es sich nicht um eine Umgehung des früheren Patches handelt. Die neue Lücke betreffe zwar ebenfalls den Dienst „vdaemon“ über Datagram Transport Layer Security (DTLS) auf dem User Datagram Protocol (UDP)-Port 12346. Sie sei aber „ein anderes Problem in einem ähnlichen Bereich des vdaemon-Netzwerk-Stacks“. Damit ist klar: Auch vollständig gepatchte Systeme gegen CVE-2026-20127 können weiterhin verwundbar sein, sofern sie nicht die neuen Updates gegen CVE-2026-20182 erhalten.

Angriff über den Peering-Mechanismus

Technisch läuft der Angriff über die Rolle des Controllers als vertrauenswürdiger Kommunikationspartner innerhalb der SD-WAN-Architektur. Durch die fehlerhafte Peering-Authentifizierung kann ein Angreifer erreichen, dass er als legitimer Peer des Zielsystems behandelt wird. Sobald dieser Zustand erreicht ist, stehen ihm privilegierte Operationen offen.

Das macht die Lücke besonders kritisch für Umgebungen mit komplexen Standortvernetzungen, Cloud-Anbindungen oder zentral verwalteten Richtlinien. Eine manipulierte SD-WAN-Konfiguration kann Datenverkehr umleiten, Sicherheitsrichtlinien schwächen oder die Verfügbarkeit einzelner Standorte beeinträchtigen.

Prüfung der Protokolle ist Pflicht

Cisco fordert Kunden auf, die aktuellen Updates schnellstmöglich einzuspielen. Zusätzlich empfiehlt der Hersteller eine Prüfung der Datei „/var/log/auth.log“. Verdächtig sind dort Einträge wie „Accepted publickey for vmanage-admin“ von unbekannten oder nicht autorisierten Internet-Protokoll-Adressen.

Ein weiteres Warnsignal sind ungewöhnliche Peering-Ereignisse. Dazu zählen unerlaubte Peer-Verbindungen zu unerwarteten Zeiten, Verbindungen von unbekannten Adressen oder Gerätetypen, die nicht zur Architektur der jeweiligen Umgebung passen.

Was Administratoren jetzt tun sollten

Die wichtigste Maßnahme ist das Einspielen der bereitgestellten Sicherheitsupdates. Danach sollten Administratoren prüfen, ob betroffene Controller direkt aus dem Internet erreichbar sind und ob unnötige Ports geschlossen werden können. Besonders der DTLS-basierte Zugriff auf UDP-Port 12346 verdient Aufmerksamkeit.

Parallel empfiehlt sich eine gezielte Auswertung der Authentifizierungs- und Peering-Protokolle. Wer Hinweise auf unautorisierte Verbindungen findet, sollte nicht nur den Controller untersuchen, sondern auch die SD-WAN-Konfiguration, zuletzt geänderte Richtlinien und mögliche Manipulationen an NETCONF-basierten Einstellungen prüfen.

CVE-2026-20182 zeigt erneut, wie kritisch die Absicherung der Management- und Steuerungsebene moderner Netzwerke ist. In SD-WAN-Architekturen genügt ein kompromittierter Controller, um weitreichende Kontrolle über Datenflüsse, Richtlinien und Standortverbindungen zu gewinnen.

Weitere Artikel zum Thema: 

SD-WAN vorausschauend planen

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.