Cisco bestätigt siebten Zero-Day im SD-WAN im Jahr 2026, der aktiv ausgenutzt wird, ohne verfügbare Korrektur
CVE-2026-20245, CVSS 7.8, betrifft alle Bereitstellungsmodelle des Catalyst SD-WAN Managers ohne verfügbare Patches. Forscher von Google Mandiant berichteten über die Schwachstelle, die seit vor dem Warnhinweis vom 5. Juni aktiv ausgenutzt wird.
Siebter Zero-Day in fünf Monaten im selben Produkt
Am 5. Juni bestätigte Cisco, dass der Catalyst SD-WAN Manager aktiv durch die CVE-2026-20245 ausgenutzt wird, eine Schwachstelle zur Erhöhung der Berechtigungen für Root, für die es bislang keinen verfügbaren Patch gibt. Es ist der siebte Zero-Day, der im selben Produkt im Jahr 2026 dokumentiert wurde, eine Zahl, die von SecurityWeek hervorgehoben wird, um den Alarm zu kontextualisieren. Der Sicherheitswarnhinweis wurde am 4. Juni von Cisco veröffentlicht; die Fachberichterstattung kam am folgenden Tag. Die Entdeckung wurde von drei Forschern von Google Mandiant gemeldet: Chester Sng, Pete Boonyakarn und Logeswaran Nadarajan, die alle in dem offiziellen Hinweis des Unternehmens genannt werden.
Cisco beobachtete in begrenztem Umfang aktive Ausnutzungen, bei denen das Ergebnis die Verbreitung von Konfigurationsänderungen in Edge-Geräten war. Dies deutet darauf hin, dass die Angreifer nicht nur die Berechtigungen intern erhöhten, sondern den Root-Zugriff nutzten, um die downstream Netzwerkumgebung zu modifizieren und Konfigurationen in den kompromittierten Edge-Geräten einzufügen.
Technik und Ausnutzungs-Kette
Die CVE-2026-20245 hat einen CVSS von 7.8 und befindet sich in der Kommandozeilenoberfläche (CLI) des Catalyst SD-WAN Managers. Die Wurzel des Problems ist die unzureichende Validierung von Benutzereingaben: Ein Angreifer mit Netadmin-Rechten kann eine speziell gestaltete Datei hochladen und beliebige Befehle als Root ausführen. Der Angriffsvektor erfordert lokale Authentifizierung, was das potenzielle Bedrohungsniveau normalerweise auf moderat einstufen würde.
Der Kontext ändert jedoch die Berechnung. Die CVE-2026-20182, die im Mai 2026 als Zero-Day ausgenutzt wurde, und die CVE-2026-20127, die von einem von Cisco als "hochgradig anspruchsvoll" beschriebenen Akteur seit 2023 genutzt wird, bieten den erforderlichen Zugang für einen Remote-Angreifer, um die für die neue Schwachstelle benötigten Netadmin-Anmeldeinformationen zu erhalten. Diese drei CVEs bilden eine Kette zur Eskalation von einem nicht authentifizierten Remote-Zugang bis hin zu Root-Zugriff auf das System, das das gesamte SD-WAN-Netzwerk steuert. Cisco bestätigte, dass die CVE-2026-20245 alle Bereitstellungsmodelle betrifft: On-Premises, Cloud-Pro, von Cisco verwaltete Cloud und Government (FedRAMP). Es gibt keinen Patch und keinen Workaround.
Warum sieben Zero-Days im selben Produkt anders sind als sieben isolierte Vorfälle
Die Wiederholung stellt ein anderes Muster dar als der einzelne Vorfall. Sieben Zero-Days im Catalyst SD-WAN Manager innerhalb von weniger als fünf Monaten deuten auf eine systematisch unterschätzte Angriffsfläche hin, was jeden auf Periodizität basierenden Schwachstellenmanagement-Zyklus ungültig macht. Kein monatliches Patch-Regime, so rigoros es auch sein mag, schließt einen aktiv ausgenutzten Zero-Day ohne verfügbare Korrektur. Die Frage, die Sicherheitsmanager beantworten müssen, ist nicht, wann der Patch ankommt: Es ist, wie viele Akteure bereits Persistenz und Zugriff eingerichtet haben, bevor er existiert.
Für Sicherheitsteams mit Implementierungen des Catalyst SD-WAN Managers empfahl Cisco, Protokolle auf spezifische Indikatoren für Kompromittierungen (IOCs) zu überprüfen, die im Hinweis veröffentlicht wurden. Zusätzliche Maßnahmen zur Reduzierung der Angriffsfläche umfassen das Isolieren des SD-WAN Managers vom allgemeinen Management-Netzwerk und das Entfernen unnötiger Netadmin-Konten; keine dieser Maßnahmen beseitigt das Risiko, solange die durch die CVE-2026-20182 und CVE-2026-20127 gebildete Zugangskette ohne vollständige Minderung bleibt.
Globale Betrachtung: Dienstleistungszentren in Indien und Finanznetzwerke in Europa
Der Cisco Catalyst SD-WAN ist die dominierende Lösung in großen Unternehmensnetzwerken in mehreren Geografien. In den IT-Service-Delivery-Centern in Indien betreiben TCS, Infosys und Wipro umfangreiche Cisco SD-WAN-Netzwerke, um ihre Standorte in Chennai, Pune und Bangalore mit globalen Kunden zu verbinden. Eine bösartige Konfiguration, die in diesen Delivery-Hubs injiziert wird, folgt dem von Cisco beobachteten Angriffs-muster, und trifft nicht nur den Anbieter: Sie durchquert die VPN-Tunnel bis in die Umgebungen der Endkunden, wodurch der kompromittierte Manager zu einem Eintrittspunkt für eine IT-Lieferkette wird, die Hunderte von Unternehmen in den USA, Europa und Japan versorgt.
In Europa führen Unternehmen aus den Sektoren Finanz und Fertigung in Großbritannien, Deutschland und den Niederlanden die Einführung des Cisco SD-WAN in großangelegten Unternehmens- und Regierungsimplementierungen an. Die Präsenz des Produkts in FedRAMP-Umgebungen in den USA und in europäischen Finanznetzwerken erweitert gleichzeitig den potenziellen Einfluss über das, was der CVSS von 7.8 einzeln suggeriert. Für einen CISO einer Bank oder Beratung mit Büros in den USA, im Vereinigten Königreich und Delivery-Zentren in Indien stellt die CVE-2026-20245 keine Mittelstärke-Schwachstelle dar: Sie ist das Endstück einer Kette von drei Schwachstellen, die bei nicht authentifiziertem Remote-Zugang beginnt und in Root-Zugriff auf das System mündet, das das gesamte Netzwerk steuert.