Cisco schließt kritische Authentifizierungslücke im Catalyst SD-WAN Controller — Angriffe laufen bereits

Zusammenfassung

Cisco hat Sicherheitsupdates für eine Schwachstelle mit höchster Schweregradeinstufung im Catalyst SD-WAN Controller veröffentlicht, die nach Angaben des Herstellers bereits in begrenztem Umfang ausgenutzt wurde. Die als CVE-2026-20182 geführte Lücke erreicht den maximalen CVSS-Wert von 10.0. Sie betrifft den Catalyst SD-WAN Controller (vormals SD-WAN vSmart) sowie den Cisco Catalyst SD-WAN Manager (vormals SD-WAN vManage). Laut Cisco kann ein nicht authentifizierter, entfernter Angreifer die Authentifizierung umgehen und administrative Rechte auf einem betroffenen System erlangen. Ursache ist eine Fehlfunktion im Mechanismus zur Peering-Authentifizierung, die sich durch speziell präparierte Anfragen ausnutzen lässt. Gelingt der Angriff, kann sich der Angreifer als interner, hoch privilegierter Benutzer ohne Root-Rechte anmelden und über NETCONF die Netzwerkkonfiguration des SD-WAN-Verbunds manipulieren. Cisco erklärte, im Mai 2026 von einer „begrenzten Ausnutzung" der Schwachstelle erfahren zu haben, und fordert Kunden auf, die aktuellen Updates so schnell wie möglich einzuspielen. Entdeckt wurde die Lücke von Rapid7.

Die Schwachstelle wurzelt nach Darstellung von Cisco in einer Fehlfunktion des Peering-Authentifizierungsmechanismus. Ein Angreifer kann sie ausnutzen, indem er präparierte Anfragen an das betroffene System sendet. Im Erfolgsfall meldet er sich als interner, hoch privilegierter Benutzer ohne Root-Rechte am Catalyst SD-WAN Controller an und kann diesen Zugang nutzen, um über NETCONF auf die Netzwerkkonfiguration des SD-WAN-Verbunds zuzugreifen und sie zu verändern.

Rapid7, das CVE-2026-20182 entdeckte, verweist auf Parallelen zu CVE-2026-20127 — einer weiteren kritischen Authentifizierungslücke mit CVSS-Wert 10.0, die dieselbe Komponente betrifft. Diese ältere Schwachstelle soll seit mindestens 2023 von einem Bedrohungsakteur namens UAT-8616 ausgenutzt worden sein.

Wie die Rapid7-Forscher Jonah Burgess und Stephen Fewer erläutern, betrifft die neue Lücke den Dienst „vdaemon" über DTLS auf dem UDP-Port 12346 — denselben Dienst, der bereits für CVE-2026-20127 anfällig war. Es handle sich dabei jedoch nicht um eine Umgehung des Patches für CVE-2026-20127, sondern um ein eigenständiges Problem in einem ähnlichen Teil des Netzwerk-Stacks von „vdaemon". Das Ergebnis sei in beiden Fällen identisch: Ein entfernter, nicht authentifizierter Angreifer kann sich als authentifizierter Peer des Zielgeräts ausgeben und privilegierte Operationen ausführen.

In seinem Sicherheitshinweis gab Cisco an, im Mai 2026 von einer begrenzten Ausnutzung der Schwachstelle erfahren zu haben, und drängt seine Kunden, die jüngsten Updates umgehend einzuspielen. Besonders gefährdet seien Catalyst-SD-WAN-Controller-Systeme, die über das Internet erreichbar sind und offene Ports aufweisen.

Zur Erkennung möglicher Angriffe empfiehlt Cisco, die Datei „/var/log/auth.log" auf Einträge zu prüfen, die auf akzeptierte Public-Key-Anmeldungen für „vmanage-admin" von unbekannten oder nicht autorisierten IP-Adressen hindeuten. Ein weiteres Indiz seien verdächtige Peering-Ereignisse in den Protokollen — etwa unautorisierte Peer-Verbindungen zu unerwarteten Zeiten, von unbekannten IP-Adressen oder mit Gerätetypen, die nicht zur Architektur der Umgebung passen.

Cisco schließt kritische Authentifizierungslücke im Catalyst SD-WAN Controller — Angriffe laufen bereits

Ähnliche Artikel

Neueste Artikel