BEDROHUNG
Weniger als einen Monat nach der letzten kritischen Warnung wird eine weitere Lücke in Cisco Catalyst SD-WAN Manager aktiv ausgenutzt. Betroffen sind On-Premises-Installationen, Cisco SD-WAN Cloud, Cloud-Pro und FedRAMP-Umgebungen.
Laut Cisco liegt der Fehler in einer unzureichenden Validierung von Nutzereingaben. Ein lokaler Angreifer kann durch den Upload einer manipulierten Datei beliebige Befehle als root ausführen. Voraussetzung sind zuvor erlangte netadmin-Rechte – entweder über gültige Zugangsdaten oder den Missbrauch weiterer Lücken wie CVE-2026-20182 oder CVE-2026-20127.
In einigen Fällen nutzten Angreifer die erfolgreiche Ausnutzung für anschließende Konfigurationsänderungen an Edge-Devices. Mandiant veröffentlichte Indicators of Compromise, mit denen sich die Datei „/var/log/scripts.log“ auf verdächtige Uploadversuche prüfen lässt. Ein Patch für CVE-2026-20245 existiert bisher nicht. Cisco empfiehlt jedoch, auf eine Version zu aktualisieren, die gegen CVE-2026-20182 abgesichert ist, um einen der Wege zur netadmin-Berechtigung zu schließen.
Was jetzt zu tun ist:
- „/var/log/scripts.log“ auf verdächtige Upload-Versuche prüfen
- Zugriff auf Catalyst SD-WAN Manager strikt beschränken
- Auf Version aktualisieren, die gegen CVE-2026-20182 abgesichert ist
PRÄVENTION & DETEKTION
Die Zero-Day-Schwachstelle im Cisco Catalyst SD-WAN Manager ermöglicht es Angreifern mit bestehenden netadmin-Rechten, über manipulierte Datei-Uploads Root-Befehle auszuführen und Systeme zu kompromittieren. Eine EDR-Erkennung sollte daher vor allem auf ungewöhnliche Datei-Uploads, Root-Prozessstarts aus Webdiensten sowie verdächtige System- und Netzwerkaktivitäten fokussieren.
Autor: Michael Niers
