Es gibt Tage, da hilft kein schnelles Update — weil es keins gibt. Cisco warnt vor einer Lücke im Catalyst SD-WAN Manager, die bereits aktiv ausgenutzt wird. Und einen Patch? Den gibt es bisher schlicht nicht.
ALARM: Angreifer holen sich Root
Die Schwachstelle heißt CVE-2026-20245 und steckt in der Kommandozeile des SD-WAN Managers. Cisco bewertet sie mit CVSS 7.8. Ein Angreifer kann über eine manipulierte Datei beliebige Befehle als Root ausführen — also mit den höchsten Rechten auf dem System.
Der Haken aus Angreifersicht: Er braucht dafür bereits einen Zugang mit netadmin-Rechten. Die Lücke ist also kein Türöffner von ganz außen — aber ein brandgefährlicher Hebel, sobald jemand einen Fuß in der Tür hat. Aus eingeschränkten Rechten wird volle Kontrolle.
SCHOCK: Schon Konfigurationen verändert
Das ist kein Laborfund. Cisco bestätigt, dass die Lücke aktiv ausgenutzt wird. In einigen Fällen hätten Angreifer sogar bereits Konfigurationsänderungen an die Edge-Geräte verteilt — das Herzstück eines SD-WAN-Netzes. Entdeckt wurde der Zero-Day von Forschern der Google-Tochter Mandiant.
Pikant: Es ist laut Sicherheitsbranche bereits der siebte SD-WAN-Zero-Day bei Cisco in diesem Jahr. Betroffen sind alle Varianten — On-Prem, SD-WAN Cloud-Pro, die von Cisco verwaltete Cloud und sogar die Behörden-Variante für die US-Regierung.
Was Admins JETZT tun sollten
Solange kein Patch existiert, zählt Schadensbegrenzung:
- Management-Oberfläche abschotten: Der SD-WAN Manager hat im offenen Internet nichts verloren. Zugriff strikt auf interne Netze und VPN beschränken.
- Konten prüfen: Wer hat netadmin-Rechte? Jedes überflüssige Konto ist ein Risiko.
- Logs überwachen: Achte auf unerwartete Datei-Uploads und ungeplante Konfigurations-Pushes an Edge-Geräte.
- Advisory abonnieren: Cisco wird nachliefern — sobald der Patch da ist, sofort einspielen.
FAZIT: Eine Lücke ohne Fix ist der Albtraum jedes Admins. Wer seine Management-Systeme konsequent vom Internet fernhält, nimmt Angreifern aber den wichtigsten Hebel.