Cisco hat erneut einen Sicherheitspatch für seinen Catalyst SD-WAN Manager veröffentlicht – und das unter Zeitdruck: Die Schwachstelle mit der Kennung CVE-2026-20262 wurde bereits aktiv in realen Angriffen ausgenutzt, bevor der Fix überhaupt verfügbar war. Es handelt sich damit um eine klassische Zero-Day-Lücke, die Angreifern die Möglichkeit gab, auf betroffenen Systemen Root-Privilegien zu erlangen.
Was steckt hinter der Schwachstelle?
Der Catalyst SD-WAN Manager – früher unter dem Namen SD-WAN vManage bekannt – ist eine zentrale Netzwerkverwaltungssoftware, die Administratoren die Kontrolle über bis zu 6.000 SD-WAN-Geräte über ein einziges Dashboard ermöglicht. Genau diese Zentralität macht die Plattform zu einem besonders attraktiven Angriffsziel: Wer den Manager kompromittiert, hat potenziell Zugriff auf die gesamte verwaltete Netzwerkinfrastruktur.
Das Sicherheitsproblem liegt in der unzureichenden Validierung von Benutzereingaben während des Datei-Upload-Prozesses in der Web-Oberfläche. Ein Angreifer mit vergleichsweise niedrigen Zugriffsrechten kann durch einen manipulierten HTTP-Request an einen bestimmten API-Endpunkt beliebige Befehle mit Root-Rechten ausführen. Konkret bedeutet das: Dateien auf dem zugrundeliegenden Betriebssystem können angelegt oder überschrieben werden – ein Szenario, das weitreichende Konsequenzen haben kann, von der Hintertür-Installation bis zur vollständigen Systemübernahme.
Alle Deployment-Varianten betroffen
Besonders besorgniserregend ist die Reichweite der Lücke: Cisco bestätigt, dass alle Deployment-Typen betroffen sind, unabhängig von der jeweiligen Gerätekonfiguration. Das schließt On-Premises-Installationen ebenso ein wie Cisco SD-WAN Cloud-Pro, die Cisco-managed Cloud-Variante sowie Cisco SD-WAN for Government, das nach FedRAMP-Standards zertifizierte Angebot für US-Behörden. Gerade letzteres macht die Behördenbeteiligung bei der Meldung dieser Schwachstelle verständlich.
Zweiter Vorfall im Juni 2026
Was die Situation noch brisanter macht: Es ist bereits der zweite Catalyst SD-WAN Manager Zero-Day innerhalb eines einzigen Monats. Das deutet darauf hin, dass Angreifer die Plattform systematisch unter die Lupe genommen haben und möglicherweise koordiniert nach ausnutzbaren Schwachstellen suchen. Für Unternehmen, die auf Cisco SD-WAN setzen, ist das ein klares Signal, ihre Patch-Prozesse zu beschleunigen und die Angriffsfläche ihrer Verwaltungsinfrastruktur kritisch zu überprüfen.
Was Administratoren jetzt tun sollten
Cisco hat die Sicherheitsupdates bereits veröffentlicht. Administratoren, die den Catalyst SD-WAN Manager betreiben, sollten die verfügbaren Patches umgehend einspielen. Darüber hinaus empfiehlt es sich, Logs der betroffenen API-Endpunkte auf verdächtige HTTP-Requests zu prüfen, um eine mögliche bereits erfolgte Kompromittierung zu erkennen. Netzwerksegmentierung und der Grundsatz des minimalen Zugriffs (Least Privilege) bleiben wichtige ergänzende Schutzmaßnahmen, die den Schaden im Angriffsfall begrenzen können.
Der Vorfall reiht sich in eine Serie von hochkarätigen Schwachstellen in Netzwerk-Management-Plattformen ein und unterstreicht, dass gerade zentrale Verwaltungswerkzeuge als kritische Infrastruktur behandelt und entsprechend geschützt werden müssen.
Quellen: BleepingComputer · The Register