Cisco gibt 7. Zero-Day des Jahres im SD-WAN Manager mit aktiver Ausnutzung und ohne Patch bekannt
CVE-2026-20245 ermöglicht die Ausführung von Befehlen als Root im Catalyst SD-WAN Manager. Mandiant hat die Ausnutzung vor der Veröffentlichung erkannt. Cisco hat noch keinen Fix bereitgestellt.
Cisco gab am Freitag, den 5. Juni, einen hochgradigen Zero-Day im Catalyst SD-WAN Manager bekannt, identifiziert als CVE-2026-20245 mit einem CVSS-Score von 7,8. Der Fehler ermöglicht es einem Angreifer mit Netadmin-Rechten, eine schadhafte Datei hochzuladen und beliebige Befehle als Root auf dem Host des Appliances auszuführen. Dies ist der siebte Zero-Day in Cisco SD-WAN-Produkten, der im Jahr 2026 unter aktiver Ausnutzung entdeckt wurde.
Die Entdeckung kam von Mandiant, einer Cybersicherheits-Tochtergesellschaft von Google Cloud. Das Mandiant-Team meldete den Vorfall an das PSIRT von Cisco, nachdem sie eine Ausnutzung in einer Kundenumgebung festgestellt hatten. Laut der offiziellen Mitteilung wurden "eine begrenzte Anzahl von Fällen" beobachtet, in denen der Vektor verwendet wurde, um Konfigurationsänderungen an Edge-Geräten zu senden. Cisco hat weder die Namen der betroffenen Kunden noch den Sektor veröffentlicht.
Es gibt keinen Patch. Die Mitteilung empfiehlt ein Upgrade auf die korrigierte Softwareversion von CVE-2026-20182, dem vorherigen Zero-Day, der am 14. Mai veröffentlicht wurde, als vorübergehende Minderung. Cisco bittet die Kunden, den Zugriff auf die Verwaltungsoberfläche einzuschränken und Upload-Protokolle auf verdächtige Payloads zu überprüfen. Für Kunden in der von Cisco verwalteten SaaS hat das Unternehmen ohne Kundenaktion das Hardening angewendet.
Warum sieben Zero-Days in sechs Monaten
Die sieben Zero-Days des Jahres im SD-WAN Manager sind kein statistischer Zufall. Das Produkt operiert an der Peripherie des Unternehmens-WAN, steuert die Konfiguration von Tausenden von Niederlassungen und ist ein vorrangiges Ziel für den initialen Zugriff von Spionage- und Ransomware-Kampagnen. Wer den SD-WAN Manager kontrolliert, hat die Schlüssel zum gesamten Netzwerk des Kunden.
Die beschleunigte Veröffentlichung in dieser Woche, ohne dass ein Patch verfügbar ist, bestätigt, dass Cisco die Kommunikation mit den Opfern über den idealen Veröffentlichungszeitplan priorisiert. Das Unternehmen kündigte im Mai eine Änderung des Disclosure-Prozesses an: Ab Juli werden Sicherheitswarnungen zweimal im Monat, an jedem ersten und dritten Mittwoch, anstelle des früheren monatlichen Rhythmus veröffentlicht. Die offizielle Begründung führt die Änderung auf die beschleunigte automatisierte Entdeckung von Fehlern durch KI-Tools zurück, sowohl auf der offensiven als auch auf der defensiven Seite.
Wer ist betroffen
CVE-2026-20245 betrifft die gesamte Basis des Catalyst SD-WAN Manager in On-Premise-, Cloud-Pro-, Cisco Managed Cloud- und FedRAMP-Implementierungen. Die Basis umfasst Konten aus dem Finanz-, Gesundheits- und Regierungssektor. Im Januar listete das US-GAO Cisco SD-WAN als eine der drei am häufigsten verwendeten WAN-Lösungen in Bundesbehörden auf. Im Vereinigten Königreich wird das Produkt in einem bedeutenden Teil der zentralen Ministerien unter den Vereinbarungen des Crown Commercial Service verwendet. In Japan berichtet Cisco von einer Präsenz bei den meisten Großbanken.
Die Kategorie "Netadmin-privilegierter Angreifer" mag restriktiv erscheinen, aber in der Umgebung eines Telekom-Serviceproviders und von MSPs ist dieses Profil unter externen Ingenieuren verbreitet. Ein Leck von Anmeldedaten oder gezieltes Phishing gegen das Operations-Team des Partners beseitigt die Grenze. Mandiant hat den Verursacher der beobachteten Angriffe nicht öffentlich zugeordnet.
Für die CISA wurde im Bulletin vom Donnerstag eine Behandlung als "Zero-Day in aktiver Ausnutzung" empfohlen. Bundesbehörden sollten den öffentlichen Zugriff auf die Verwaltungsoberfläche sofort deaktivieren und vollständiges Logging von Konfigurationsänderungen aktivieren. Die CISA hat CVE-2026-20245 noch nicht zum KEV-Katalog hinzugefügt, was das Fenster offen hält, sodass private Anbieter nach eigenem Ermessen priorisieren können. Die SolarWinds Serv-U CVE-2026-28318, die ebenfalls am 5. mit CVSS 7,5 wegen Denial-of-Service veröffentlicht wurde, wurde am selben Tag zum KEV hinzugefügt, mit einer Frist für die Behebung für den 19. Juni.
Die Botschaft für den CISO außerhalb der USA
Für einen CISO eines Unternehmens in Frankfurt, São Paulo oder Singapur ist das Zeitfenster zwischen heute und der Veröffentlichung des Cisco-Fixes das, was zählt. Sicherheitsexperten schätzen, basierend auf einer Shodan-Überwachung, dass es etwa 1.500 Instanzen des SD-WAN Managers gibt, die direkt im Internet exponiert sind. Keine dieser Installationen sollte auf diese Weise exponiert sein, aber sie sind es.
Im Vereinigten Königreich veröffentlichte das NCSC eine parallele Warnung, die empfiehlt, dass Betreiber kritischer Infrastrukturen, die durch die NIS-Verordnung von 2018 benannt sind, CVE-2026-20245 als höchste Priorität für die Minderung behandeln. In Deutschland gab das BSI eine technische Notiz für Kunden des Bundes heraus. Für CIOs im brasilianischen Finanzsektor, die in den letzten fünf Jahren MPLS standardisiert haben und auf SD-WAN umsteigen, ist der operative Punkt zu überprüfen, ob der externe Anbieter die CVE-Informationen hat und ein aktives Minderungssverfahren vor dem Wochenende durchführt.
Cisco hat die Bereitstellung des Patches für das nächste Veröffentlichungsfenster ohne spezifisches Datum versprochen.