Cisco Catalyst SD-WAN: Ungepatchter Zero-Day CVE‑2026‑20245 wird aktiv ausgenutzt
Cisco bestätigt eine kritische Zero-Day-Schwachstelle im Catalyst SD-WAN Manager (CVE-2026-20245, CVSS 7.8), die aktiv ausgenutzt wird. Angreifer können als Root beliebige Befehle ausführen – ein Patch ist derzeit nicht verfügbar.
Cisco hat eine kritische Schwachstelle im Catalyst SD-WAN Manager bestätigt, die von Angreifern bereits aktiv ausgenutzt wird. Die als CVE-2026-20245 geführte Lücke ermöglicht es authentifizierten Angreifern, über eine manipulierte Datei beliebige Befehle mit Root-Rechten auszuführen. Ein Patch steht nach aktuellem Stand (6. Juni 2026) nicht zur Verfügung. Es ist der siebte aktiv ausgenutzte SD-WAN-Zero-Day allein im Jahr 2026 – ein Umstand, der die Schwere der anhaltenden Angriffswelle gegen Cisco-Netzwerkinfrastruktur unterstreicht.
Die Schwachstelle
CVE-2026-20245 betrifft den Cisco Catalyst SD-WAN Manager und wurde mit einem CVSS-Score von 7.8 bewertet. Entdeckt wurde die Lücke von Forschern des Google-Mandiant-Teams (Chester Sng, Pete Boonyakarn und Logeswaran Nadarajan). Angreifer, die über ein Konto mit netadmin-Berechtigungen verfügen, können durch das Hochladen einer manipulierten Datei beliebige Systembefehle als Root ausführen. Damit ist eine vollständige Kompromittierung des SD-WAN-Managers möglich.
Cisco bestätigte, dass in begrenzten Fällen bereits Konfigurationsänderungen auf Edge-Geräten beobachtet wurden – ein klares Indiz dafür, dass die Schwachstelle nicht nur theoretisch ausgenutzt wird, sondern reale Auswirkungen auf die Netzwerkkonfiguration von Zielunternehmen hat.
Besonders brisant: Die Ausnutzung von CVE-2026-20245 setzt zwar einen authentifizierten Zugang voraus, dieser kann jedoch über zwei weitere, ebenfalls aktiv ausgenutzte Schwachstellen erlangt werden – CVE-2026-20182 und CVE-2026-20127. Angreifer können diese Lücken als Einstiegspunkt nutzen, um sich anschließend über CVE-2026-20245 Root-Rechte zu sichern.
Bin ich betroffen?
Betroffen sind alle Versionen des Cisco Catalyst SD-WAN Managers in sämtlichen Deployment-Varianten:
| Deployment-Typ | Betroffen |
|---|---|
| On-Premises | Ja |
| Cloud-Pro | Ja |
| Cisco Managed Cloud | Ja |
| FedRAMP / Government | Ja |
Es gibt keine eingeschränkte Versionsliste – alle Versionen des Cisco Catalyst SD-WAN Managers sind potenziell anfällig. Unternehmen, die Cisco SD-WAN in irgendeiner der genannten Varianten betreiben, sollten die Situation als kritisch einstufen. Besonders gefährdet sind Umgebungen, in denen auch CVE-2026-20182 noch nicht adressiert wurde, da Angreifer diesen Weg für die initiale Kompromittierung nutzen können.
Zur Überprüfung auf Anzeichen einer Kompromittierung empfiehlt Cisco, privilegierte Konten (insbesondere netadmin-Accounts) auf ungewöhnliche Aktivitäten und unbefugte Konfigurationsänderungen an Edge-Geräten zu untersuchen. Hinweise zur grundsätzlichen Absicherung von Netzwerkzugängen und VPN-Umgebungen bietet auch die s-edv.com-Anleitung zu pfSense/OPNsense Firewall-Erstkonfiguration.
Wie behebe ich das?
Ein offizieller Patch ist derzeit nicht verfügbar. Cisco hat noch keine Version veröffentlicht, die CVE-2026-20245 schließt. Auch Workarounds werden nicht bereitgestellt. Bis ein Patch erscheint, empfiehlt Cisco folgende Mitigationsmaßnahmen:
- Zugangsbeschränkung: Den Zugang zum SD-WAN Manager strikt auf vertrauenswürdige IP-Adressen limitieren – idealerweise über Firewall-Regeln oder ACLs.
- Kontrollprüfung privilegierter Konten: Alle Konten mit
netadmin-Rechten auf Anzeichen einer Kompromittierung prüfen, insbesondere auf unerwartete Anmeldungen oder Konfigurationsänderungen. - Monitoring für Konfigurationsänderungen: Edge-Geräte auf unerklärliche Konfigurationsänderungen überwachen, die über den SD-WAN Manager eingespielt worden sein könnten.
- PSIRT-Updates verfolgen: Das Cisco Security Advisory zu CVE-2026-20245 regelmäßig prüfen und sofort patchen, sobald ein Fix verfügbar ist.
Unternehmen, die CVE-2026-20182 noch nicht adressiert haben, sollten dies mit höchster Priorität nachholen, da diese Schwachstelle als Einfallstor für Folgeangriffe via CVE-2026-20245 genutzt wird. Grundsätzliche Empfehlungen zur Netzwerksegmentierung und zum Umgang mit VLANs finden sich in der s-edv.com-Anleitung zu VLANs und Managed Switches.
Was bedeutet das für Unternehmen?
Die Situation ist aus mehreren Gründen besorgniserregend: Es handelt sich bereits um den siebten aktiv ausgenutzten Zero-Day in Cisco SD-WAN allein im Jahr 2026. Die Häufung dieser Schwachstellen legt nahe, dass die Plattform derzeit intensiv auf Angriffsvektoren untersucht wird – sowohl von staatlichen Akteuren als auch von kriminellen Gruppen.
Besonders kritisch ist die Kombination mit den Vorgängerlücken CVE-2026-20182 und CVE-2026-20127: Wer als Angreifer initialen Zugang über eine dieser Schwachstellen erlangt, kann sich über CVE-2026-20245 vollständige Root-Kontrolle über den SD-WAN Manager sichern. Von dort aus lassen sich Netzwerkkonfigurationen auf sämtlichen angebundenen Edge-Geräten manipulieren – ein Szenario, das Verkehr umleiten, Verschlüsselung deaktivieren oder Backdoors in die Netzwerkinfrastruktur einschleusen kann.
Für Unternehmen, die Cisco SD-WAN in kritischer Infrastruktur betreiben – insbesondere in FedRAMP-regulierten Umgebungen oder Umgebungen mit hohem Schutzbedarf – ist unmittelbares Handeln erforderlich. Das Fehlen eines Patches erhöht den Druck, die verfügbaren Mitigationsmaßnahmen konsequent umzusetzen. IT-Teams sollten außerdem Incident-Response-Prozesse vorbereiten, für den Fall, dass eine Kompromittierung festgestellt wird. Empfehlungen für den Ernstfall bietet die s-edv.com-Anleitung zum Ransomware-Notfallplan: Die ersten 60 Minuten.
Quellen: BleepingComputer: Cisco warns of unpatched SD-WAN zero-day exploited in attacks | The Hacker News: Cisco Catalyst SD-WAN Manager CVE-2026-20245 Flaw Actively Exploited | The Register: Yet another Cisco SD-WAN 0-day under attack, and no patch in sight | SecurityWeek: Cisco Warns of 7th SD-WAN Zero-Day Exploited in 2026
