Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 08.06.2026 · 4 min Lesezeit

Cisco SD-WAN Zero-Day CVE‑2026‑20245 aktiv ausgenutzt – kein Patch verfügbar

Ein ungepatchter Zero-Day im Cisco Catalyst SD-WAN Manager ermöglicht Angreifern mit Netadmin-Rechten Root-Zugriff auf betroffene Systeme. Google Mandiant hat die aktive Ausnutzung gemeldet – es ist der siebte ausgenutzte Cisco-SD-WAN-Bug im Jahr 2026.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Gebrochener Netzwerk-Switch mit Warnleuchten in einem dunklen Rechenzentrum als Symbol für einen aktiven Zero-Day-Angriff

Cisco hat eine kritische Warnung zu einer ungepatchten Zero-Day-Schwachstelle im Catalyst SD-WAN Manager herausgegeben. Die als CVE-2026-20245 erfasste Lücke (CVSS-Score 7.8, Einstufung „High") ermöglicht Angreifern mit Netadmin-Rechten die Ausführung beliebiger Befehle mit Root-Privilegien. Google Mandiant hat die aktive Ausnutzung in freier Wildbahn bestätigt und den Fund an Cisco gemeldet. Besonders beunruhigend: Es ist bereits der siebte aktiv ausgenutzte Zero-Day in Cisco SD-WAN allein im Jahr 2026 – und ein Patch ist bislang nicht verfügbar.

Die Schwachstelle im Detail

CVE-2026-20245 ist eine Command-Injection-Schwachstelle im CLI-Input-Handling des Cisco Catalyst SD-WAN Manager (früher bekannt als SD-WAN vManage). Ein Angreifer kann durch das Hochladen einer manipulierten Datei beliebige Befehle als Root auf dem betroffenen System ausführen. Die Schwachstelle liegt damit tief im Verwaltungskern der SD-WAN-Infrastruktur.

Die Entdeckung geht auf das Sicherheitsteam von Google Mandiant zurück. Die Forscher Chester Sng, Pete Boonyakarn und Logeswaran Nadarajan meldeten die aktive Ausnutzung am 6. Juni 2026 an Cisco. Nach eigenen Angaben des Unternehmens wurden in einer begrenzten Anzahl von Fällen Konfigurationsänderungen auf nachgelagerte Edge-Geräte gepusht – ein klares Zeichen, dass Angreifer die Kontrolle über die SD-WAN-Verwaltungsebene erlangt hatten.

Die Schwachstelle steht nicht isoliert: Für eine erfolgreiche Ausnutzung werden Netadmin-Credentials benötigt. Diese können Angreifer jedoch durch die ebenfalls bekannten Schwachstellen CVE-2026-20182 und CVE-2026-20127 zuvor erlangen – was eine gefährliche Angriffskette ermöglicht.

Bin ich betroffen?

Von der Schwachstelle betroffen sind alle Deployment-Typen des Cisco Catalyst SD-WAN Manager:

Deployment-TypBetroffen
On-PremisesJa
SD-WAN Cloud-ProJa
SD-WAN Cloud (Cisco Managed)Ja
FedRAMP-VarianteJa

Unternehmen und Behörden, die Cisco Catalyst SD-WAN Manager in einer dieser Varianten betreiben, müssen davon ausgehen, dass ihre Verwaltungsebene potenziell im Fokus aktiver Angriffe steht. Administratoren sollten umgehend prüfen, welche Konten über Netadmin-Rechte verfügen und ob in den Systemlogs ungewöhnliche CLI-Aktivitäten oder unautorisierte Konfigurationsübertragungen auf Edge-Geräte verzeichnet sind.

Hinweise auf eine Kompromittierung können unter anderem unerwartete Konfigurationsänderungen an Edge-Geräten, unbekannte Anmeldungen mit Netadmin-Privilegien sowie auffällige Datei-Uploads in der Verwaltungsschnittstelle sein. Wie die Überwachung von Systemlogs grundsätzlich funktioniert, erläutert die Anleitung Linux-Logs lesen und auswerten mit journalctl.

Wie behebe ich das?

Stand 7. Juni 2026 gibt es weder einen direkten Patch noch eine offizielle Workaround-Empfehlung von Cisco für CVE-2026-20245. Das Unternehmen empfiehlt Administratoren jedoch, die verfügbaren Fixes für die verwandte Schwachstelle CVE-2026-20182 einzuspielen, die seit dem 14. Mai 2026 verfügbar sind. Damit wird zumindest ein Teil der beschriebenen Angriffskette unterbrochen.

Bis zur Veröffentlichung eines vollständigen Patches sollten Administratoren folgende Maßnahmen ergreifen:

  • Netadmin-Zugang einschränken: Ausschließlich vertrauenswürdige und namentlich bekannte Konten sollten über Netadmin-Rechte verfügen. Unbenötigte Konten sind sofort zu deaktivieren oder zu entfernen.
  • Anmeldeüberwachung aktivieren: Alle Anmeldungen am SD-WAN Manager sollten lückenlos protokolliert und auf Anomalien geprüft werden. Besondere Aufmerksamkeit gilt Zugriffen außerhalb der Geschäftszeiten und unbekannten Quell-IP-Adressen.
  • CVE-2026-20182 patchen: Die seit Mai 2026 verfügbaren Fixes für verwandte Schwachstellen einspielen, um die Angriffskette zu unterbrechen.
  • Netzwerksegmentierung prüfen: Den Zugriff auf die SD-WAN-Manager-Verwaltungsschnittstelle auf dedizierte Management-Netze beschränken und durch Firewall-Regeln absichern. Grundlagen zur Segmentierung bietet die Anleitung VLANs verstehen und am Managed Switch einrichten.
  • Incident-Response-Plan aktivieren: Bei Verdacht auf Kompromittierung sollte umgehend der Incident-Response-Prozess eingeleitet werden.

Cisco hat angekündigt, einen Patch bereitzustellen, ohne bislang einen konkreten Zeitplan zu nennen. Administratoren sollten die Sicherheitshinweise von Cisco aktiv beobachten und verfügbare Updates umgehend einspielen.

Was bedeutet das für Unternehmen?

Die Schwachstelle trifft Unternehmen an einer besonders sensiblen Stelle: Der Cisco Catalyst SD-WAN Manager ist das zentrale Verwaltungssystem für verteilte Unternehmensnetze. Wer hier Root-Zugriff erlangt, kann Konfigurationen auf alle angebundenen Edge-Geräte übertragen – also auf Router und Gateways an sämtlichen Unternehmensstandorten. Dies bedeutet, dass ein einziger kompromittierter Netadmin-Account potenziell ausreicht, um das gesamte Weitverkehrsnetz eines Unternehmens zu kontrollieren, Datenverkehr umzuleiten oder Hintertüren in die Infrastruktur einzubauen.

Besonders exponiert sind Organisationen, die die FedRAMP-Variante einsetzen – also in erster Linie US-Behörden und Unternehmen mit staatlichen Aufträgen. Aber auch mittelständische und große Unternehmen in der DACH-Region, die auf Cisco-basierte SD-WAN-Infrastrukturen setzen, müssen die Bedrohung ernst nehmen.

Das Muster ist alarmierend: Sieben aktiv ausgenutzte Zero-Days in einer einzigen Produktlinie innerhalb eines halben Jahres deuten darauf hin, dass Cisco SD-WAN gezielt durch hochprofessionelle Angreifergruppen ins Visier genommen wurde. Sicherheitsteams sollten den Zugang zur Verwaltungsebene konsequent auf das absolute Minimum beschränken. Eine strukturierte Zwei-Faktor-Authentifizierung für privilegierte Zugänge, wie in der Anleitung Zwei-Faktor-Authentifizierung (2FA/MFA) einführen beschrieben, sollte für alle Netadmin-Konten als Mindestmaßnahme gelten.

Angesichts der Tatsache, dass kein Patch verfügbar ist, gilt: Die einzige wirksame Verteidigung besteht derzeit in der konsequenten Zugriffsbeschränkung und der lückenlosen Überwachung sämtlicher Verwaltungsaktivitäten.

Quellen

Verwandt

Weiter lesen

Alle Artikel →
Gebrochener Netzwerk-Switch mit Warnleuchten in einem dunklen Rechenzentrum als Symbol für einen aktiven Zero-Day-Angriff
08.06.2026 ·4 min

SolarWinds Serv-U CVE-2026-28318: CISA-Warnung, aktiv ausgenutzt – Hotfix verfügbar

CISA hat CVE-2026-28318 in SolarWinds Serv-U in den KEV-Katalog aufgenommen: Unauthentifizierte Angreifer können den Dienst per HTTP-POST zum Absturz bringen. Über 12.000 Server sind öffentlich erreichbar – Bundesbehörden müssen bis 19. Juni 2026 patchen.
Zerbrochenes rot leuchtendes Vorhängeschloss vor Server-Rack mit nginx-Code – Symbolbild zur kritischen Auth-Bypass-Sicherheitslücke CVE-2026-33032 in nginx-ui.
07.06.2026 ·3 min

nginx-ui: Kritische Auth-Bypass-Lücke CVE-2026-33032 ermöglicht vollständige Serverübernahme

Eine kritische Schwachstelle in der nginx-ui-Weboberfläche wird aktiv ausgenutzt: CVE-2026-33032 erlaubt Angreifern ohne jede Authentifizierung die vollständige Übernahme eines Nginx-Servers. Über 2.600 verwundbare Instanzen sind im Internet erreichbar. Ein Patch steht bereit.
Gebrochener Netzwerk-Switch mit Warnleuchten in einem dunklen Rechenzentrum als Symbol für einen aktiven Zero-Day-Angriff
07.06.2026 ·4 min

Cisco Catalyst SD-WAN: Ungepatchter Zero-Day CVE-2026-20245 wird aktiv ausgenutzt

Cisco bestätigt eine kritische Zero-Day-Schwachstelle im Catalyst SD-WAN Manager (CVE-2026-20245, CVSS 7.8), die aktiv ausgenutzt wird. Angreifer können als Root beliebige Befehle ausführen – ein Patch ist derzeit nicht verfügbar.