Cisco Catalyst SD-WAN: Siebter Zero-Day 2026 aktiv ausgenutzt – CVE‑2026‑20245 ermöglicht Root-Zugriff ohne Patch
Cisco warnt vor CVE-2026-20245, einer aktiv ausgenutzten Privilege-Escalation-Schwachstelle im Catalyst SD-WAN Manager, die Root-Kommandoausführung ermöglicht. Ein dauerhafter Patch ist noch nicht verfügbar – Organisationen müssen sofort handeln.
Cisco hat am 5. Juni 2026 eine Sicherheitswarnung zu CVE-2026-20245 veröffentlicht, einer Privilege-Escalation-Schwachstelle im Cisco Catalyst SD-WAN Manager. Die Lücke wird nach Unternehmensangaben bereits aktiv in Angriffen ausgenutzt und ermöglicht authentifizierten lokalen Angreifern die Ausführung beliebiger Befehle mit Root-Rechten. Ein dauerhafter Patch steht zum Zeitpunkt der Bekanntmachung nicht zur Verfügung. Es handelt sich um den siebten aktiv ausgenutzten Zero-Day in der Cisco-SD-WAN-Produktlinie allein im Jahr 2026 – ein Muster, das auf gezielte, koordinierte Angriffskampagnen hindeutet.
Die Schwachstelle
CVE-2026-20245 ist eine Privilege-Escalation-Schwachstelle in der CLI des Cisco Catalyst SD-WAN Managers. Ursache ist eine unzureichende Validierung von Benutzereingaben. Ein authentifizierter Angreifer mit lokalem Zugriff kann durch das Hochladen einer präparierten Datei beliebige Systembefehle im Kontext des Root-Benutzers ausführen und damit die vollständige Kontrolle über das betroffene System erlangen.
Der Angriff setzt eine vorherige Authentifizierung voraus – Cisco weist darauf hin, dass hierfür der bereits bekannte und ebenfalls ausgenutzte CVE-2026-20182 als Einfallstor dienen kann. Entdeckt und an Cisco gemeldet wurde die Schwachstelle von Mandiant (Google). Cisco stellt im zugehörigen Security Advisory konkrete Indicators of Compromise (IOCs) in Form spezifischer Log-Einträge bereit, anhand derer Administratoren eine mögliche Kompromittierung prüfen können.
Im größeren Kontext ist zu beachten, dass der vorgelagerte CVE-2026-20127 bereits seit 2023 von einem hochentwickelten Bedrohungsakteur aktiv eingesetzt wird, was das anhaltende Interesse gezielter Angreifer an der SD-WAN-Infrastruktur von Cisco unterstreicht.
Bin ich betroffen?
Betroffen sind alle Deployment-Varianten des Cisco Catalyst SD-WAN Managers:
| Deployment-Typ | Betroffen |
|---|---|
| On-Premises | Ja |
| Cloud-Pro | Ja |
| Cloud (Cisco Managed) | Ja |
| FedRAMP / Government | Ja |
Organisationen, die den Cisco Catalyst SD-WAN Manager in einer der genannten Varianten betreiben, sind grundsätzlich gefährdet. Zur Prüfung auf eine mögliche aktive Ausnutzung sollten die im Cisco Security Advisory genannten IOCs – konkrete Log-Einträge – unverzüglich auf betroffenen Systemen geprüft werden.
Wie behebe ich das?
Ein dauerhafter Patch für CVE-2026-20245 ist zum aktuellen Zeitpunkt nicht verfügbar. Cisco empfiehlt als Sofortmaßnahme die Aktualisierung auf den Software-Stand, der CVE-2026-20182 behebt – dieser wurde am 14. Mai 2026 bereitgestellt. Damit wird zumindest der bekannte initiale Angriffsweg erschwert.
Die empfohlenen Handlungsschritte im Überblick:
- Software auf den Stand des CVE-2026-20182-Fixes (verfügbar seit 14. Mai 2026) aktualisieren.
- IOCs aus dem Cisco Security Advisory zu CVE-2026-20245 prüfen – insbesondere die angegebenen Log-Einträge auf allen betroffenen Systemen sichten.
- Zugriff auf die SD-WAN-Manager-CLI auf autorisierte Benutzer und Netzwerksegmente beschränken.
- Den dauerhaften Patch von Cisco abwarten und schnellstmöglich einspielen, sobald er verfügbar ist.
- Anzeichen einer Kompromittierung gemäß dem internen Incident-Response-Prozess verfolgen.
Grundlegende Netzwerksegmentierung und eine restriktive Firewall-Policy, wie sie im Rahmen einer pfSense/OPNsense-Firewall-Erstkonfiguration etabliert werden, können den Handlungsspielraum von Angreifern nach einer initialen Authentifizierung signifikant einschränken. Wer den Zugriff auf kritische Netzwerkgeräte zusätzlich mit Mehrfaktorauthentifizierung absichert, erschwert die für diesen Angriff notwendige Vorauthentifizierung – wie das grundsätzlich gelingt, beschreibt die Anleitung zur Einführung von Zwei-Faktor-Authentifizierung.
Was bedeutet das für Unternehmen?
CVE-2026-20245 ist nicht als isoliertes Ereignis zu bewerten. Es handelt sich um den siebten aktiv ausgenutzten Zero-Day in der Cisco-SD-WAN-Linie allein im Jahr 2026. Das wiederkehrende Muster gezielter Angriffe auf diese Produktfamilie – kombiniert mit der Tatsache, dass ein hochentwickelter Bedrohungsakteur bereits seit 2023 verwandte Schwachstellen ausnutzt – lässt auf eine organisierte, anhaltende Angriffskampagne schließen, die es gezielt auf WAN-Steuerungsebenen abgesehen hat.
Unternehmen mit Cisco-SD-WAN-Infrastruktur riskieren bei erfolgreicher Ausnutzung eine vollständige Kompromittierung der WAN-Steuerungsebene mit weitreichenden Folgen für Netzwerkverfügbarkeit, Datensicherheit und Betriebskontinuität. Für DACH-Organisationen gilt erhöhte Dringlichkeit: Der fehlende Patch und die bestätigte aktive Ausnutzung erfordern sofortiges Handeln – Warten auf einen späteren Patch ohne Zwischenmaßnahmen ist keine vertretbare Option. Sicherheitsteams sollten zudem ihren Notfallplan für den Fall einer Kompromittierung prüfen und aktualisieren.
Quellen: BleepingComputer: Cisco warns of unpatched SD-WAN zero-day exploited in attacks | SecurityWeek: Cisco Warns of 7th SD-WAN Zero-Day Exploited in 2026 | The Register: Yet another Cisco SD-WAN 0-day under attack, and no patch in sight | Help Net Security: Cisco SD-WAN 0-day exploited, no patch available (CVE-2026-20245)
