Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 16.06.2026 · 3 min Lesezeit

Cisco schließt ausgenutzte SD-WAN-Lücke CVE-2026-20262

Cisco hat Sicherheitsupdates für Catalyst SD-WAN Manager veröffentlicht. Die aktiv ausgenutzte Lücke CVE-2026-20262 kann zur Ausweitung von Rechten bis Root führen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Moderne IT-News-Grafik zur geschlossenen und ausgenutzten Cisco SD-WAN-Lücke CVE-2026-20262 mit Router, Sicherheitswarnung, Schutzschild, Update-Hinweis und Netzwerk-Symbolen.

Cisco hat am 15. Juni 2026 Sicherheitsupdates für den Catalyst SD-WAN Manager veröffentlicht und damit eine bereits ausgenutzte Schwachstelle geschlossen. Die Lücke wird als CVE-2026-20262 geführt und betrifft die zentrale Verwaltungsplattform, die früher unter dem Namen SD-WAN vManage bekannt war. Für Administratoren ist die Meldung besonders relevant, weil der Manager in vielen Umgebungen eine Schlüsselrolle für Richtlinien, Geräteverwaltung und Kontrollzugriff auf SD-WAN-Infrastrukturen einnimmt.

Nach Angaben von Cisco liegt die Ursache in unzureichender Validierung von Benutzereingaben bei Datei-Uploads über die Weboberfläche. Ein authentifizierter entfernter Angreifer mit niedrigen Rechten kann dadurch Dateien auf dem Dateisystem des betroffenen Systems erstellen oder überschreiben. Diese Dateioperation kann anschließend zur Ausweitung von Rechten bis auf Root-Ebene genutzt werden. Cisco nennt keine Details zu den beobachteten Angriffen, bestätigt aber, dass die eigene Product Security Incident Response Team Kenntnis von Ausnutzung erhalten hat.

Betroffene Versionen und Updates

Betroffen sind laut Hersteller mehrere Release-Zweige von Cisco Catalyst SD-WAN Manager. Für die Linien 20.9, 20.12, 20.15, 20.18 und 26.1 stehen feste Versionen bereit. Konkret nennt Cisco unter anderem 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1 und 26.1.1.2 als erste korrigierte Releases. Die Lücke betrifft nach öffentlicher Berichterstattung alle Bereitstellungsarten, also lokale Installationen, Cisco SD-WAN Cloud-Pro, Cisco Managed Cloud und FedRAMP-Umgebungen.

Die Schwachstelle erfordert keine anonyme Ausnutzung, sondern einen bereits authentifizierten Zugriff. Das reduziert die Angriffsvoraussetzungen, macht das Thema für Betreiber aber nicht unkritisch. Gerade niedrig privilegierte Konten, kompromittierte Administratorzugänge oder bereits in die Umgebung gelangte Angreifer können in solchen Szenarien aus einem begrenzten Zugriff einen deutlich höheren Systemzugriff entwickeln.

Einordnung für Administratoren

Für Netzwerk- und Sicherheitsverantwortliche ist CVE-2026-20262 ein weiterer Hinweis darauf, dass Verwaltungsoberflächen von SD-WAN-Systemen streng abgeschirmt werden müssen. Entscheidend ist nicht nur das Einspielen der Herstellerupdates. Administratoren sollten zusätzlich prüfen, ob Managementzugänge unnötig aus breiten Netzen erreichbar sind, ob Rollenmodelle zu großzügig vergeben wurden und ob API- oder Webzugriffe nachvollziehbar protokolliert werden.

Cisco weist auf Indikatoren hin, die bei der Suche nach möglichen Spuren helfen können. Dazu gehören Hinweise auf Upload-Versuche von Dateien wie index.jsp oder .war in relevanten Logs, etwa im Umfeld von vmanage-server, vmanage-appserver und serviceproxy-access. Solche Treffer beweisen für sich allein noch keinen vollständigen Einbruch, sollten aber eine genaue Prüfung von Zeitstempeln, Konten, Quelladressen und nachfolgenden Änderungen auslösen.

CISA stuft die Lücke als aktiv ausgenutzt ein

Die US-Sicherheitsbehörde CISA hat CVE-2026-20262 am 15. Juni 2026 in den Known-Exploited-Vulnerabilities-Katalog aufgenommen. Damit gilt die Ausnutzung nicht mehr nur als theoretisches Risiko. Auch wenn die CISA-Vorgaben formal für US-Bundesbehörden gelten, ist der Katalog für viele Unternehmen ein praktischer Priorisierungsmaßstab. Systeme mit zentraler Netzwerksteuerung sollten deshalb nicht in reguläre Patchzyklen am Monatsende verschoben werden.

Administratoren sollten zunächst die installierte Catalyst-SD-WAN-Manager-Version erfassen und gegen die von Cisco genannten Fixed Releases prüfen. Anschließend sollten Updates nach Herstellerprozess eingespielt und die Integrität der Umgebung kontrolliert werden. Sinnvoll sind außerdem eine Überprüfung aktiver Sitzungen, unerwarteter Benutzer- oder Rollenänderungen und ungewöhnlicher Dateioperationen im Zeitraum vor dem Update.

Quellen

  1. Cisco Security Advisory: Cisco Catalyst SD-WAN Manager Arbitrary File Write Vulnerability
  2. CISA: CISA Adds Two Known Exploited Vulnerabilities to Catalog
  3. BleepingComputer: Cisco fixes SD-WAN vManage flaw exploited in zero-day attacks

Passende Anleitungen auf S-EDV

Verwandt

Weiter lesen

Alle Artikel →
Hochverfügbarkeit auf netcup mit zwei VPS, Keepalived, Failover-IP und Cloud-vLAN für automatische Umschaltung und abgesicherte private Server-Kommunikation
13.06.2026 ·10 min

Hochverfügbarkeit auf netcup: Zwei VPS mit Keepalived, Failover-IP und Cloud-vLAN absichern

HA-Cluster aus zwei netcup-VPS: Keepalived überwacht per VRRP den Herzschlag über das private Cloud-vLAN, bei Ausfall schwenkt ein Skript die Failover-IP automatisch per netcup REST API um – typische Ausfallzeit unter 20 Sekunden.
Moderne Server-Infrastruktur mit leuchtenden Toggle-Schaltern symbolisiert Feature-Flag-Verwaltung
13.06.2026 ·3 min

Acer Wave-7-Router: Zwei ungepatchte Zero-Days mit CVSS 10 – Backdoor-Zugriff ohne Authentifizierung möglich

Zwei kritische Zero-Day-Schwachstellen in Acer Wave-7-Routern erlauben Angreifern ohne Authentifizierung vollständigen Netzwerkzugriff – ein Patch existiert noch nicht, Acer plant ein Firmware-Update erst für Ende Juni 2026.
netcup CCP Oberfläche zur Verwaltung von DNS-Records mit A, AAAA, CNAME, MX und TXT Einträgen für Domains
13.06.2026 ·9 min

DNS-Records bei netcup im CCP verwalten: A, AAAA, CNAME, MX und TXT richtig setzen

Im netcup CCP lassen sich A-, AAAA-, CNAME-, MX- und TXT-Records direkt im Browser anlegen. Diese Anleitung zeigt alle Schritte – inklusive netcup-Eigenheiten wie Grün-Box-Validierung, CNAME-Einschränkungen und 10-Minuten-Propagation.