Cisco-SD-WAN-Lücke wird aktiv ausgenutzt : Für CVE-2026-20245 gibt es noch keinen Patch – exponierte Systeme sind besonders gefährdet
Cisco warnt vor einer aktiv ausgenutzten Schwachstelle im Catalyst SD-WAN Manager. Angreifer mit Netadmin-Rechten können über präparierte Dateien Befehle einschleusen und Root-Rechte erlangen. Ein Patch fehlt bislang, die Angriffskette ist eng mit früheren SD-WAN-Lücken verknüpft.
Cisco hat vor einer schwerwiegenden Sicherheitslücke im Catalyst SD-WAN Manager gewarnt, die bereits aktiv ausgenutzt wird. Die Schwachstelle wird als CVE-2026-20245 geführt und erreicht im Common Vulnerability Scoring System (CVSS) einen Wert von 7,8 von 10,0 Punkten. Damit gilt sie als hochriskant, auch wenn sie nicht ohne Voraussetzungen ausgenutzt werden kann.
Betroffen sind mehrere Bereitstellungsvarianten der Plattform:
- On-Prem Deployment
- Cisco SD-WAN Cloud-Pro
- Cisco SD-WAN Cloud (Cisco Managed)
- Cisco SD-WAN for Government (Federal Risk and Authorization Management Program)
Die Lücke steckt in der Befehlszeilenschnittstelle des Catalyst SD-WAN Manager, der früher unter dem Namen SD-WAN vManage bekannt war. Laut Cisco kann „ein authentifizierter lokaler Angreifer durch das Einschleusen einer präparierten Datei beliebige Befehle als Root ausführen“. Damit betrifft die Schwachstelle nicht nur die Verwaltungsebene, sondern potenziell auch die Integrität der gesamten SD-WAN-Umgebung.
Root-Rechte über manipulierte Datei
CVE-2026-20245 entsteht, weil der Cisco Catalyst SD-WAN Manager hochgeladene Dateien nicht streng genug prüft. Ein Angreifer kann deshalb eine manipulierte Datei auf das System bringen. Verarbeitet die Verwaltungssoftware diese Datei, können eingeschleuste Befehle ausgeführt werden. Besonders gefährlich ist dabei, dass diese Befehle mit Root-Rechten laufen können. Der Angreifer hätte damit die höchstmöglichen Rechte auf dem System.
Ganz ohne Vorarbeit lässt sich die Lücke jedoch nicht ausnutzen. Cisco weist darauf hin, dass ein Angreifer bereits Netadmin-Rechte auf dem betroffenen System besitzen muss. Diese Rechte kann er entweder über gültige Zugangsdaten erhalten oder über andere Sicherheitslücken erlangen. Cisco nennt hier ausdrücklich CVE-2026-20182 und CVE-2026-20127. Andere erfolgreiche Angriffswege sind dem Unternehmen derzeit nicht bekannt.
Damit ist CVE-2026-20245 vor allem als Baustein in einer längeren Angriffskette gefährlich. Ein Angreifer könnte zunächst eine Authentifizierungsumgehung ausnutzen, um sich Verwaltungsrechte zu verschaffen. Anschließend kann er CVE-2026-20245 verwenden, um seine Rechte weiter auszuweiten und Befehle mit Root-Rechten auszuführen.
Verbindung zu früheren Zero-Day-Angriffen
CVE-2026-20182 wurde im Vormonat von Rapid7 offengelegt und mit dem maximalen CVSS-Wert von 10,0 bewertet. Die Schwachstelle erlaubt es nicht authentifizierten entfernten Angreifern, administrative Rechte auf verwundbaren Systemen zu erlangen. Sie ähnelt laut Bericht CVE-2026-20127, einer weiteren Authentifizierungsumgehung in derselben Komponente.
Beide Schwachstellen wurden bereits als Zero-Day-Lücken aktiv ausgenutzt. Die Angriffstätigkeit rund um CVE-2026-20127 wird einem Cluster namens UAT-8616 zugeschrieben, dessen Aktivitäten offenbar bis ins Jahr 2023 zurückreichen. Das zeigt, dass Angreifer Cisco-SD-WAN-Komponenten nicht punktuell, sondern über längere Zeiträume systematisch ins Visier nehmen.
Cisco meldete in seiner aktuellen Warnung zudem begrenzte Fälle, in denen die Ausnutzung von CVE-2026-20245 zu einer Konfigurationsänderung führte, die an Edge-Geräte übertragen wurde. Entdeckt und gemeldet wurde die neue Schwachstelle von den Google-Mandiant-Forschern Chester Sng, Pete Boonyakarn und Logeswaran Nadarajan. Wer hinter den aktuellen Angriffen steckt, ist bislang nicht bekannt.
Kein Patch, keine direkte Abhilfe
Für CVE-2026-20245 stehen derzeit weder Patches noch Mitigationen bereit. Cisco empfiehlt Kunden dennoch, ihre SD-WAN-Software zu aktualisieren, um zumindest die am 14. Mai 2026 veröffentlichten Korrekturen für CVE-2026-20182 einzuspielen. Diese Maßnahme schließt die neue Lücke nicht, reduziert aber das Risiko, dass Angreifer sich zunächst über eine bekannte Authentifizierungsumgehung administrative Rechte verschaffen.
Besonders gefährdet sind nach Cisco-Angaben Systeme, die direkt aus dem Internet erreichbar sind. Für Betreiber bedeutet das: Die Managementebene sollte dringend überprüft, exponierte Zugriffe sollten beschränkt und Protokolldaten sollten gezielt nach Angriffsspuren durchsucht werden.
Hinweise auf Kompromittierung prüfen
Zur Suche nach Indicators of Compromise (IoC) empfiehlt Cisco insbesondere eine Prüfung der Datei „/var/log/scripts.log“. Verdächtige oder relevante Einträge können wie folgt aussehen:
- Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0
- Jun 5 13:06:39 Manager vScript: vSmart upload serial numbers: /usr/bin/vconfd_script_upload_vsmart_serial_numbers.sh -cli path /home/admin/vsmart_serial_numbers_safe.csv
- Jun 5 13:08:47 Validator vScript: ZTP upload chassis numbers: /usr/bin/vconfd_script_upload_chassis_number_file.sh -cli path /home/admin/chassis_numbers_safe.csv
Diese Einträge zeigen, welche Skripte im Zusammenhang mit Datei-Uploads und SD-WAN-Konfigurationsprozessen ausgeführt wurden. Besonders aufmerksam sollten Administratoren bei ungewöhnlichen Dateinamen, unerwarteten Pfaden, auffälligen Zeitpunkten und Änderungen an Tenant-, vSmart- oder Zero-Touch-Provisioning-Daten sein.
Siebte aktiv ausgenutzte SD-WAN-Lücke in diesem Jahr
CVE-2026-20245 ist bereits die siebte Cisco-SD-WAN-Schwachstelle, die in diesem Jahr als aktiv ausgenutzt gekennzeichnet wurde. Zuvor betraf dies CVE-2026-20182, CVE-2026-20127, CVE-2026-20122, CVE-2026-20128, CVE-2026-20133 und CVE-2022-20775.
Die Häufung ist sicherheitspolitisch wie betrieblich relevant: SD-WAN-Manager sind zentrale Kontrollpunkte moderner Unternehmensnetze. Wer sie kompromittiert, erhält Einblick in Topologien, Richtlinien und Verbindungen zwischen Standorten, Rechenzentren und Cloud-Umgebungen. Eine Schwachstelle auf dieser Ebene kann daher weit über ein einzelnes System hinauswirken.
Parallel dazu hatte Cisco kurz zuvor eine weitere hochriskante Schwachstelle im Unified Communications Manager geschlossen. CVE-2026-20230 erreicht einen CVSS-Wert von 8,6; öffentlich verfügbarer Proof-of-Concept-Code liegt vor. Hinweise auf aktive Ausnutzung gibt es laut Cisco bislang jedoch nicht.
Für Unternehmen mit Cisco-SD-WAN-Infrastruktur bleibt die Lage angespannt. Ohne Patch für CVE-2026-20245 kommt es vor allem auf Härtung, Zugriffsbeschränkung, Log-Analyse und die Beseitigung vorgelagerter Schwachstellen an. Wer die Managementebene weiterhin offen erreichbar betreibt, erhöht das Risiko erheblich, dass bekannte Angriffsketten erneut erfolgreich eingesetzt werden.
FAQ zu CVE-2026-20245
Was ist CVE-2026-20245?
CVE-2026-20245 ist eine Schwachstelle im Cisco Catalyst SD-WAN Manager. Sie ermöglicht einem authentifizierten lokalen Angreifer unter bestimmten Bedingungen die Ausführung beliebiger Befehle mit Root-Rechten.
Wird CVE-2026-20245 aktiv ausgenutzt?
Ja. Cisco warnt vor aktiver Ausnutzung der Schwachstelle. In begrenzten Fällen führten Angriffe offenbar zu Konfigurationsänderungen, die an Edge-Geräte übertragen wurden.
Gibt es bereits einen Patch für CVE-2026-20245?
Derzeit stehen laut Artikel weder Patches noch direkte Mitigationen für CVE-2026-20245 bereit. Cisco empfiehlt jedoch Updates gegen vorgelagerte Schwachstellen wie CVE-2026-20182.
Wer ist durch CVE-2026-20245 besonders gefährdet?
Besonders gefährdet sind Cisco-SD-WAN-Manager, die direkt aus dem Internet erreichbar sind oder bei denen Angreifer bereits Netadmin-Rechte erlangt haben.
Wie können Administratoren Angriffe erkennen?
Cisco empfiehlt unter anderem die Prüfung der Datei /var/log/scripts.log. Verdächtig sind ungewöhnliche Datei-Uploads, auffällige Pfade, unerwartete Zeitpunkte oder Änderungen an Tenant-, vSmart- und ZTP-Daten.