Cisco behebt den sechsten Zero-Day-Exploit von SD-WAN im Jahr 2026 unter aktiver Ausnutzung
CVE-2026-20182 ermöglicht Authentifizierungsumgehung im Catalyst SD-WAN Controller und Eskalation zu Root. Die als UAT-8616 identifizierte Gruppe änderte bereits NETCONF-Konfigurationen in den kompromittierten Systemen. Die CISA forderte innerhalb von drei Tagen eine Korrektur.
Cisco gab am 19. Mai die Behebung der sechsten Zero-Day-Sicherheitsanfälligkeit in seiner SD-WAN-Linie für das Jahr 2026 bekannt. Die CVE-2026-20182, die von Rapid7 identifiziert und im März gemeldet wurde, ermöglicht es Angreifern, sich remote administrative Privilegien im Cisco Catalyst SD-WAN Controller, früher bekannt als vSmart, und im SD-WAN Manager, früher bekannt als vManage, durch speziell gestaltete Pakete zu verschaffen.
Die CISA fügte die Schwachstelle am selben Tag dem Katalog der Bekannt gewordenen Schwachstellen hinzu und setzte eine Frist von drei Tagen für die Bundesbehörden, um den Patch zu implementieren. Der kurze Zeitrahmen spiegelt den bereits beobachteten Ausnutzungsgrad in der Produktion wider.
UAT-8616 und der Angriff auf das Netzwerkzentrum
Die von Cisco als UAT-8616 identifizierte Gruppe wurde dabei beobachtet, wie sie SSH-Schlüssel hinzufügte, NETCONF-Konfigurationen änderte und zu Root in den kompromittierten Systemen aufstieg. Das Aktivitätsprofil deutet auf einen Akteur mit fortgeschrittenen technischen Fähigkeiten und einem Fokus auf Persistenz hin, nicht auf opportunistische Ransomware-Kampagnen.
Cisco klassifizierte die Gruppe als hochgradig raffiniert. Die Auswahl des Ziels ist strategisch: SD-WAN-Controller orchestrain den Datenverkehr zwischen Filialen, Rechenzentren und Cloud-Umgebungen in Unternehmensnetzwerken. Wer diesen Orchestrierungsplan kontrolliert, hat Sichtbarkeit und die Fähigkeit zur Abhörung über praktisch das gesamte Netzwerk der Organisation.
Das Muster, das sich im Jahr 2026 abzeichnet
Fünf weitere CVEs in SD-WAN-Produkten von Cisco wurden im Laufe dieses Jahres aktiv ausgenutzt: CVE-2026-20128, CVE-2026-20122, CVE-2026-20133, CVE-2026-20127 und die CVE-2022-20775, die weiterhin im Umlauf ist. Die Wiederholung deutet auf strukturelle Mängel im Design der Authentifizierungslinie hin und nicht auf isolierte Fehler.
Für CIOs und CISOs von Unternehmen, die auf SD-WAN für Multi-Cloud-Konnektivität angewiesen sind, hat die Abfolge direkte Auswirkungen auf die Architektur: interne Segmentierung des Kontrollplans, kontinuierliche Überwachung von Änderungen in NETCONF und Überprüfung von Privilegienrichtlinien in Controllern haben damit aufgehört, als empfohlene Absicherung zu gelten und sind zu einer zwingenden Reaktion geworden. Die Tatsache, dass die Schwachstelle mehr als zwei Monate zwischen Meldung und öffentlicher Behebung in Anspruch nahm, öffnet auch die Debatte über das Patch-SLA bei kritischen Edge-Geräten.