Cisco hat zwei Sicherheitslücken im Catalyst SD-WAN Manager als aktiv ausgenutzt gemeldet und fordert Administratoren zur sofortigen Aktualisierung auf. Neben zwei weiteren kritischen Schwachstellen in der Secure Firewall Management Center wurden auch eine seit 2023 ausgenutzte Zero-Day-Lücke gepatcht.
Der Netzwerkhersteller Cisco warnt vor zwei Sicherheitslücken im Catalyst SD-WAN Manager (ehemals vManage), die derzeit von Angreifern im Feld ausgenutzt werden. Das Unternehmen drängt betroffene Administratoren zur baldigen Durchführung von Softwareupdates.
Das Catalyst SD-WAN Manager ist ein zentrales Managementsystem, mit dem IT-Verantwortliche bis zu 6.000 SD-WAN-Geräte von einer einzigen Administrationskonsole aus überwachen und steuern können.
Wie Cisco in einer aktualisierten Sicherheitsmitteilung mitteilte, wurde das Unternehmen im März 2026 von einer aktiven Ausnutzung der beiden CVEs CVE-2026-20128 und CVE-2026-20122 unterrichtet. Während weitere in dem Advisory erwähnte Lücken nach aktuellem Stand nicht kompromittiert wurden, empfiehlt Cisco dringend, auf korrigierte Versionen zu aktualisieren.
Bei CVE-2026-20122 handelt es sich um eine hochgradig kritische Schwachstelle zum Überschreiben von Dateien, die allerdings nur von entfernten Angreifern mit gültigen Read-Only-API-Zugängen ausgenutzt werden kann. Die mittelschwere Informationspreisgabe-Lücke CVE-2026-20128 erfordert hingegen lokale Angreifer mit vManage-Anmeldedaten auf den Zielsystemen. Beide Lücken beeinflussen Catalyst SD-WAN Manager unabhängig von der Gerätekonfiguration.
Bereits vor kurzem stufte Cisco eine kritische Authentifizierungs-Umgehungslücke (CVE-2026-20127) als Zero-Day-Exploit ein, der von hochentwickelten Bedrohungsakteuren seit mindestens 2023 ausgenutzt wird. Damit gelingt es den Angreifern, SD-WAN-Controller zu übernehmen und bösartige Fake-Peers in Netzwerke einzuschleusen. Diese manipulierten Geräte ermöglichen es den Angreifern, legitim wirkende Malware in das Netzwerk einzubringen und tiefer in kompromittierte Infrastrukturen vorzudringen.
Die Schwachstelle wurde in Sicherheitsmitteilungen von Cisco und US-amerikanischen sowie britischen Behörden offengelegt. Das US-amerikanische CISA erließ zudem die Emergency Directive 26-03, die Bundesbehörden zur Inventarisierung ihrer Cisco-SD-WAN-Systeme, zur Sicherung forensischer Artefakte und zur Überprüfung möglicher Kompromittierungen verpflichtet.
Ausserdem veröffentlichte Cisco am Mittwoch Updates für zwei maximale Sicherheitslücken in der Secure Firewall Management Center (FMC). Eine Authentifizierungs-Umgehung (CVE-2026-20079) und eine Remote-Code-Execution-Lücke (CVE-2026-20131) ermöglichen unauthentifizierten Angreifern, Root-Zugriff auf das Betriebssystem zu erlangen und beliebigen Java-Code mit Root-Privilegien auszuführen.
Quelle: BleepingComputer