#Netzwerk & Sicherheit · 4 Min. Lesezeit · Tim Rinkel

CISCO-ALARM! SD-WAN-Lücke wird gerade aktiv ATTACKIERT — so prüfst du JETZT, ob deine Filiale offen ist!

CISCO-ALARM! SD-WAN-Lücke wird gerade aktiv ATTACKIERT — so prüfst du JETZT, ob deine Filiale offen ist!

CISCO-ALARM! Hacker fressen sich durch SD-WAN-Manager

Die CISA (das US-Pendant zum BSI) hat es offiziell bestätigt: Die Schwachstelle CVE-2026-20133 im Cisco Catalyst SD-WAN Manager wird im April 2026 AKTIV in freier Wildbahn ausgenutzt. Auf gut Deutsch: Es laufen jetzt echte Angriffe gegen echte Firmen-Netze.

Du kennst SD-WAN nicht? Kurz erklärt: Das ist die zentrale Software, mit der Konzerne und Mittelständler ihre Filialnetze per Internet zusammenklicken — Hauptsitz, Außenstellen, Produktionsstandorte, alles über einen Cisco-Manager gesteuert. Wer den Manager kapert, sieht ALLES: Topologien, Routen, Konfigurationen, Zertifikate.

SCHOCK: Die Lücke verlangt nicht mal ein Passwort

Die Schwachstelle ist eine Information Disclosure. Klingt harmlos, ist es aber nicht. Der Bug erlaubt es einem unauthentifizierten Angreifer, also jemandem ohne Zugangsdaten, sensible System-Daten aus dem Manager zu lesen. Cisco beschreibt es so klar wie selten: „Diese Bedrohung existiert unabhängig von der Geräte-Konfiguration“. Heißt: Egal wie sauber dein Admin gearbeitet hat — wenn der Patch nicht drauf ist, blutet das System.

Hintergrund: Eine Schwäche in den Dateisystem-Zugriffsbeschränkungen. Der Manager liefert auf bestimmten HTTP-Pfaden Daten aus, die er nie hätte ausliefern dürfen. CISA hat den Bug am 21. April 2026 in den KEV-Katalog aufgenommen — Behörden mussten bis zum 24. April patchen oder das System abschalten.

GEFAHR! Was sich ein Angreifer holen kann

Die ausgelesenen Daten sind kein Schweizer Käse, sondern Munition für den nächsten Angriffsschritt:

  • System-Konfigurationen der Edge-Router
  • Tunnel-Schlüssel und Topologie-Infos
  • Authentifizierungs-Token für API-Endpunkte
  • Software-Inventar der angeschlossenen Standorte

Mit diesem Material baut der Angreifer dann den nächsten Schritt: laterale Bewegung ins eigentliche Firmennetz. Talos-Forscher beobachten zudem schon länger Aktivitäten der Gruppe UAT-8616, die genau Cisco-SD-WAN-Geräte ins Visier nimmt.

UNGLAUBLICH: Auch ältere Lücken werden noch ausgenutzt

Wirklich übel wird es, wenn man sich die Liste der bekannten aktiven Cisco-SD-WAN-Bugs anschaut:

  • CVE-2026-20127 — geht laut Talos schon mindestens seit 2023 aktiv durch die Wildnis. Drei Jahre Lücke!
  • CVE-2026-20122 — Datei-Überschreibung, ermöglicht Privilege-Escalation für authentifizierte Angreifer.
  • CVE-2026-20128 — ebenfalls aktiv ausgenutzt seit Anfang des Jahres.
  • CVE-2026-20133 — der frische, der dich gerade jetzt trifft.

Wer sein SD-WAN nicht regelmäßig patcht, ist NICHT erst seit gestern Zielscheibe.

SO PATCHST du den Manager in 30 MINUTEN

Wenn du Cisco SD-WAN im Einsatz hast (egal ob als Konzern oder Mittelständler über einen Dienstleister), arbeite diese Liste durch:

  1. Version checken. Im Manager unter Administration → Settings → Maintenance die aktuelle Build-Nummer notieren.
  2. Cisco-Advisory lesen. Cisco listet auf sec.cloudapps.cisco.com die genauen Fixed-Releases. Alles darunter ist verwundbar.
  3. Notfall-Mitigation: Falls du nicht sofort patchen kannst, schränke den Zugriff auf das Manager-Webinterface per ACL auf interne Admin-IPs ein. Kein direkter Internet-Zugriff!
  4. Patch ausrollen. Im SD-WAN-Manager das Software-Image hochladen, Cluster-Migration anstoßen. Plane ein Wartungsfenster — die Knotenpunkte starten nacheinander neu.
  5. Logs prüfen. Nach dem Patch: 7 Tage rückwirkend Auth-Logs anschauen, ungewöhnliche IPs aussortieren, betroffene Edge-Geräte mit frischen Zertifikaten neu provisionieren.

EXTRA-TIPP: Auch fürs Homelab interessant

SD-WAN ist nichts für dein Heimnetz — aber das Prinzip „unauthentifizierte Info-Disclosure“ trifft auch OPNsense, UniFi-Controller oder Tailscale-Coordinator. Halte alle Management-Oberflächen NIE offen im Internet, sondern hinter VPN, Cloudflare-Zero-Trust oder Tailscale-ACL.

FAZIT: Patchen, Logs, dann atmen

Die SD-WAN-Lücke ist scharf, aber gut dokumentiert. Cisco hat einen Patch, CISA hat den Notfall ausgerufen, Talos beobachtet die Angreifer. Was bleibt, ist deine Hausaufgabe: JETZT updaten, Zugriffspfade überprüfen, und das nächste Patch-Fenster fest in den Wartungs-Kalender malen. Wer zwei Wochen wartet, spielt Lotto mit dem Firmennetz — und das willst du wirklich nicht.

Häufige Fragen

Welche SD-WAN-Manager-Versionen sind betroffen?
Laut Cisco-Advisory mehrere Versionsstränge des Catalyst SD-WAN Managers. Die exakten Versionen sind im offiziellen Cisco-Security-Advisory zu CVE-2026-20133 dokumentiert. Wer noch auf älteren Manager-Versionen ist, sollte als erstes dorthin schauen.
Wie erkenne ich einen Angriff?
Anzeichen sind unbekannte Admin-Accounts, plötzlich geänderte Routing-Konfigurationen einzelner Filialen oder unerwartete Outbound-Verbindungen vom SD-WAN-Manager. Die Cisco-Logs unter Monitor > Audit Log sind die erste Anlaufstelle.
Reicht ein Patch oder muss ich neu konfigurieren?
Wenn dein Manager aktiv ausgenutzt wurde, ist allein Patchen nicht genug — du musst das System als kompromittiert behandeln. CISA empfiehlt eine vollständige Compromise-Assessment-Prüfung und das Rotieren aller Credentials, die im Manager hinterlegt waren.
Bin ich auch betroffen, wenn ich nur SD-WAN-Geräte ohne Manager habe?
Die Lücke betrifft den zentralen Manager, nicht die Edge-Router. Wer aber zwei oder mehr Filialen über einen zentralen Manager orchestriert, fällt unter das Risiko. Hardware-only-Setups ohne Manager sind nicht direkt betroffen.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert