Cisco hat in einer Aktualisierung einer früheren Sicherheitsmeldung darauf hingewiesen, dass zwei Schwachstellen im Catalyst SD-WAN Manager aktiv ausgenutzt werden. Nach Angaben des Unternehmens wurde das herstellereigene Sicherheitsteam PSIRT auf die aktive Ausnutzung von CVE-2026-20128 und CVE-2026-20122 aufmerksam. Für die anderen in der Meldung aufgeführten CVEs lägen bislang keine Hinweise auf Kompromittierungen vor.

Bei CVE-2026-20122 handelt es sich um eine als hoch eingestufte Schwachstelle, die das unbefugte Überschreiben von Dateien ermöglicht. Sie lässt sich nur von entfernten Angreifern ausnutzen, die über gültige Anmeldedaten mit reinen Leserechten und API-Zugriff verfügen. CVE-2026-20128 ist eine mittelschwere Lücke, über die Informationen offengelegt werden können; sie setzt voraus, dass lokale Angreifer gültige vmanage-Anmeldedaten auf den betroffenen Systemen besitzen. Beide Schwachstellen betreffen die Catalyst-SD-WAN-Manager-Software unabhängig von der Gerätekonfiguration.

Der Catalyst SD-WAN Manager, vormals vManage, ist eine Netzwerk-Management-Software, mit der Administratoren bis zu 6.000 Catalyst-SD-WAN-Geräte über ein zentrales Dashboard überwachen und verwalten können. Cisco empfiehlt seinen Kunden nachdrücklich, auf eine fehlerbereinigte Software-Version umzusteigen.

Bereits zuvor hatte Cisco eine kritische Schwachstelle zur Umgehung der Authentifizierung (CVE-2026-20127) als in Zero-Day-Angriffen ausgenutzt gekennzeichnet. Über sie konnten hochversierte Angreifer Controller kompromittieren und bösartige Fremdknoten – sogenannte rogue peers – in angegriffene Netzwerke einschleusen, und das mindestens seit 2023. Diese Knoten erscheinen als legitime Geräte und erlauben es den Angreifern, tiefer in kompromittierte Netzwerke vorzudringen.

Die Ausnutzung wurde in Sicherheitsmeldungen von Cisco sowie von US-amerikanischen und britischen Behörden offengelegt. Die US-Behörde CISA erließ zudem die Notfallanweisung Emergency Directive 26-03, die Bundesbehörden dazu verpflichtet, Cisco-SD-WAN-Systeme zu inventarisieren, forensische Spuren zu sichern, Updates einzuspielen und mögliche Sicherheitsverletzungen im Zusammenhang mit den CVE-2026-20127-Angriffen zu untersuchen.

Darüber hinaus veröffentlichte Cisco kürzlich Sicherheitsupdates für zwei Schwachstellen mit der höchsten Schweregradeinstufung in der Software Secure Firewall Management Center (FMC). Dabei handelt es sich um eine Authentifizierungsumgehung (CVE-2026-20079) sowie eine Schwachstelle zur Remote-Code-Ausführung (CVE-2026-20131). Beide lassen sich aus der Ferne von nicht authentifizierten Angreifern ausnutzen: Die erste verschafft Root-Zugriff auf das zugrunde liegende Betriebssystem, die zweite erlaubt die Ausführung beliebigen Java-Codes mit Root-Rechten auf ungepatchten Geräten.