Nachdem Cisco bereits im Februar vor einer kritischen Schwachstelle in Cisco Catalyst SD-WAN Controller und Cisco Catalyst SD-WAN Manager warnte, wird nun abermals eine kritische Lücke in der SD-WAN-Plattform aktiv ausgenutzt. Cisco Catalyst SD-WAN wird zur zentralen Verwaltung und sicheren Verbindung von Standorten, Rechenzentren und Cloud-Umgebungen verwendet.
Bei CVE-2026-20182 handelt es sich um einen Authentication-Bypass im Peering-Mechanismus und wurde mit dem maximalen CVSS-Score 10,0 bewertet. Mithilfe von präparierten Anfragen können Angreifer die Authentifizierung umgehen und sich als hochprivilegierter Nutzer anmelden. Anschließend ist über NETCONF die Manipulation der SD-WAN-Netzwerkkonfiguration möglich. Angreifer könnten so ein bösartiges aber legitim wirkendes Gerät in die SD-WAN-Umgebung einschleusen, das verschlüsselte Verbindungen aufbauen und zur weiteren Bewegung im Netzwerk genutzt werden kann.
Cisco beobachtet seit Monatsanfang aktive Angriffe, hält Details aber zurück. Die CISA nahm die Lücke in den Known-Exploited-Vulnerabilities-Katalog auf und verpflichtete US-Behörden, bis zum 17. Mai zu patchen.
Administratoren wird empfohlen, betroffene Systeme umgehend zu aktualisieren, Management- und Control-Plane-Zugriffe auf vertrauenswürdige Netze oder autorisierte IP-Adressen zu beschränken und Logs auf unbefugte Peering-Aktivitäten zu prüfen.
Was jetzt zu tun ist:
- betroffene Systeme umgehend aktualisieren
- Zugriff auf Management- und Control-Plane auf vertrauenswürdige Netze beschränken
- Logs auf unbefugte Peering-Aktivitäten prüfen
PRÄVENTION & DETEKTION
EDR-Lösungen (Endpoint Detection and Response), wie Sentinel One oder Mircrosoft Defender, ermöglichen eine kontinuierliche Überwachung von Endgeräten, um Bedrohungen frühzeitig zu erkennen und gezielt darauf zu reagieren. Sie sind ein wichtiger Bestandteil moderner IT-Sicherheitsstrategien, besonders gegen komplexe und gezielte Angriffe.
Autor: Michael Niers
