Die neueste Warnung von CISA bezieht sich auf die Informationsoffen-legungsschwachstelle CVE-2026-20133 in Cisco Catalyst SD-WAN Manager, einem weit verbreiteten Netzwerk-Management-Tool. Das Unternehmen Cisco hatte den Patch bereits am Ende des Februars bereitgestellt, ohne zu diesem Zeitpunkt von einer aktiven Ausnutzung zu berichten. Doch nun hat CISA auf Basis konkreter Nachweise dokumentiert, dass Angreifer die Lücke tatsächlich in Angriffsszenarien einsetzen.
Die Schwachstelle entsteht durch unzureichende Dateisystem-Zugriffsbeschränkungen in der API. Unbefugte Angreifer können dadurch sensible Informationen des zugrunde liegenden Betriebssystems auslesen – potenziell ein Einstiegspunkt für weitergehende Attacken auf kritische Infrastrukturen. Da Catalyst SD-WAN Manager bis zu 6.000 Geräte zentral verwaltet, könnte ein erfolgreicher Angriff erhebliche Auswirkungen auf ganze Netzwerke haben.
Besonders besorgniserregend ist, dass diese Sicherheitslücke nicht isoliert steht. Bereits im Februar hatte Cisco zwei weitere Anfälligkeiten (CVE-2026-20128 und CVE-2026-20122) patchen müssen, die zum gleichen Zeitpunkt bereits in freier Wildbahn ausgenutzt wurden. Im Februar war zudem eine kritische Authentication-Bypass-Schwachstelle (CVE-2026-20127) bekannt geworden, die seit mindestens 2023 von Angreifern missbraucht wird, um rogue Peers in Netzwerke einzuschleusen.
CISA hat CVE-2026-20133 in seinen Katalog der aktiv ausgenutzen Schwachstellen aufgenommen und ordnet allen Behörden der Federal Civilian Executive Branch an, ihre Systeme bis spätestens 24. April zu sichern. Die Agentur verweist auf ihre Emergency Directive 26-03 und spezielle Hunt- und Hardening-Richtlinien für Cisco SD-WAN-Geräte. Sollten keine Mitigationsmaßnahmen verfügbar sein, wird sogar die Stilllegung der betroffenen Produkte empfohlen.
Interessanterweise hat Cisco selbst bislang nicht öffentlich bestätigt, dass die Schwachstelle derzeit aktiv exploitiert wird. Das Product Security Incident Response Team (PSIRT) gibt an, von keinen Meldungen über böswillige Nutzung zu wissen. Dies deutet auf einen Informationsfluss zwischen CISA und Cisco hin, der der Öffentlichkeit vorerst vorenthalten bleibt.
Über die Jahre hinweg hat CISA bereits 91 Cisco-Schwachstellen als in der Wildnis ausgenutzt katalogisiert. Sechs davon wurden bereits von Ransomware-Operationen eingesetzt. Dies unterstreicht die besondere Gefährdung von Cisco-Infrastrukturen. Deutsche Behörden und kritische Infrastrukturen sollten dringend überprüfen, ob sie Cisco SD-WAN Manager einsetzen und entsprechende Patches einspielen.