CISCO-ALARM! Auth-Bypass mit CVSS 10.0 reisst Filialnetze auf
Cisco hat am 14. Mai 2026 eine kritische Schwachstelle in seinem Catalyst SD-WAN-Produktstack veröffentlicht: CVE-2026-20182. Der Bug bekommt die höchste Note — CVSS 10.0. Höher geht es nicht. Und das Schlimmste: Angreifer nutzen die Lücke schon aktiv aus, bestätigt Cisco PSIRT.
Du kennst SD-WAN nicht? Kurz erklärt: Mit SD-WAN klicken Firmen ihre Filialen, Außenstellen und Cloud-Standorte über einen zentralen Controller zusammen. Cisco nennt diesen Controller heute Catalyst SD-WAN Controller (früher vSmart), die Verwaltung läuft über den Catalyst SD-WAN Manager (früher vManage). Wer den Manager kapert, sieht ALLE Standorte, Routen und Zertifikate. Auf einmal.
SCHOCK: Die Lücke fragt nicht mal nach Login-Daten
Der Bug steckt im vdaemon-Dienst, der über DTLS auf UDP-Port 12346 lauscht. Eine kaputte Peering-Authentifizierung erlaubt es einem unauthentifizierten Remote-Angreifer, sich mit speziell präparierten DTLS-Paketen als vmanage-admin einzuloggen. Ohne Passwort. Ohne Token. Ohne irgendwas.
Was der Angreifer dann tut, bestätigt Cisco Talos: Die Gruppe UAT-8616 (hochprofessioneller Akteur) injiziert einen eigenen SSH-Public-Key ins authorized_keys-File von vmanage-admin, hängt sich per NETCONF auf TCP-Port 830 ein und konfiguriert das komplette SD-WAN-Fabric um. Ende vom Lied: Root-Privilegien und freier Blick auf alle deine Standorte.
GEFAHR! CISA hat eine Patch-Frist gesetzt
Die CISA (US-Pendant zum BSI) hat CVE-2026-20182 direkt in den Known Exploited Vulnerabilities-Katalog (KEV) gepackt — Bundesbehörden mussten bis zum 17. Mai 2026 patchen oder die betroffenen Systeme abschalten. Wenn US-Behörden in 72 Stunden patchen müssen, solltest du nicht erst nächsten Monat handeln.
WICHTIG: Das ist NICHT die alte CVE-2026-20133 (Information Disclosure) aus April — es ist eine völlig neue Schwachstelle. Wer den April-Patch schon eingespielt hat, ist gegen die neue Lücke trotzdem ungeschützt.
So rettest du dein Netz in 5 MINUTEN!
- Cisco-Patch sofort einspielen — Cisco hat die Fixed Software-Versionen im Security Advisory cisco-sa-sdwan-rpa2-v69WY2SW veröffentlicht.
- SSH-Keys auf vmanage-admin prüfen — Tauchen unbekannte Public-Keys in
~/.ssh/authorized_keysauf? Sofort raus damit, anschließend Passwörter und API-Tokens rotieren. - NETCONF-Logs auditieren — Verdächtige Änderungen an der SD-WAN-Topologie? Backup einspielen.
- UDP 12346 absichern — Wenn der Controller nicht zwingend übers Internet sprechen muss: Firewall davor.
EXTRA-TIPP: Auch Catalyst-9300-Switches sind weiter im Visier
Wer noch erinnert sich an die Catalyst-9300-Lobby-Konto-Lücke aus dem Mai-Patch-Day? Die wurde ebenfalls aktiv ausgenutzt. Heisst: Cisco-Netzwerke sind 2026 ein Hauptziel. Inventarisiere JETZT, welche Cisco-Geräte du im Einsatz hast, und führe einen Patch-Sweep durch — nicht nur SD-WAN.
FAZIT: Patchen, Logs prüfen, schlafen
CVE-2026-20182 ist die maximal kritische Schwachstelle dieses Jahres. CVSS 10.0, unauthentifiziert, aktiv ausgenutzt — die Trifecta des Albtraums. Sobald der Patch drauf ist und die Logs sauber sind, schläfst du wieder ruhig.
Quellen
- Cisco Security Advisory: cisco-sa-sdwan-rpa2-v69WY2SW
- Rapid7: CVE-2026-20182 Analyse
- The Hacker News: Auth Bypass Actively Exploited
- Help Net Security: Cisco patches another actively exploited SD-WAN zero-day