Cisco hat eingeräumt, dass zwei weitere Schwachstellen in Catalyst SD-WAN Manager, dem früheren SD-WAN vManage, derzeit aktiv angegriffen werden. Es handelt sich um die Lücken CVE-2026-20128 und CVE-2026-20122.

Patches dafür hatte der Hersteller bereits kürzlich veröffentlicht – gemeinsam mit Korrekturen für drei weitere Schwachstellen, die als CVE-2026-20126, CVE-2026-20129 und CVE-2026-20133 geführt werden. Die Behebungen wurden in den jeweils betroffenen Softwareversionen bereitgestellt.

“Im März 2026 wurde das Cisco PSIRT auf die aktive Ausnutzung der in CVE-2026-20128 und CVE-2026-20122 beschriebenen Schwachstellen aufmerksam – und nur dieser”, teilte der Netzwerkausrüster mit. Zum Ausmaß der beobachteten Aktivitäten und zu den möglichen Verantwortlichen äußerte sich das Unternehmen nicht.

Wegen der laufenden Angriffe rät Cisco dazu, umgehend auf eine fehlerbereinigte Softwareversion umzustellen. Daneben nennt der Hersteller eine Reihe absichernder Maßnahmen: den Zugriff aus ungesicherten Netzen begrenzen, die Geräte hinter einer Firewall betreiben, HTTP für das Administrationsportal der Catalyst-SD-WAN-Manager-Weboberfläche deaktivieren sowie nicht benötigte Netzwerkdienste wie HTTP und FTP abschalten. Außerdem sollten Nutzer das voreingestellte Administratorpasswort ändern und den Datenverkehr von und zu den Systemen auf Auffälligkeiten überwachen.

Die Offenlegung folgt eine Woche auf eine frühere Mitteilung Ciscos: Demnach wurde eine kritische Schwachstelle in Cisco Catalyst SD-WAN Controller und Catalyst SD-WAN Manager (CVE-2026-20127, CVSS-Wert 10.0) von einem hochentwickelten Bedrohungsakteur ausgenutzt, der unter der Kennung UAT-8616 geführt wird. Ziel der Angriffe war es, dauerhaften Zugang zu hochwertigen Organisationen zu erlangen.

In dieser Woche veröffentlichte Cisco zudem Aktualisierungen für zwei Schwachstellen der höchsten Schwerestufe im Secure Firewall Management Center (CVE-2026-20079 und CVE-2026-20131, jeweils CVSS-Wert 10.0). Über diese Lücken könnte ein nicht authentifizierter Angreifer aus der Ferne die Authentifizierung umgehen und beliebigen Java-Code mit Root-Rechten auf einem betroffenen Gerät ausführen.