Die Authentifizierungslücke betrifft die Peering-Authentifizierungsmechanismen von Cisco Catalyst SD-WAN Controller (ehemals vSmart) und Cisco Catalyst SD-WAN Manager (ehemals vManage). Angreifer können durch manipulierte Anfragen diese Mechanismen umgehen und sich als privilegierter Benutzer anmelden – ohne ein gültiges Passwort zu benötigen.
Die Sicherheitsforscher von Rapid7, die die Lücke entdeckten, ordnen CVE-2026-20182 als unabhängiges Problem ein. Sie unterscheidet sich von der bereits bekannten kritischen Schwachstelle CVE-2026-20127 (CVSS 10.0), die ebenfalls die vdaemon-Komponente betrifft und seit mindestens 2023 durch die Hackergruppe UAT-8616 ausgenutzt wird. Beide Lücken benutzen denselben UDP-Port 12346 über DTLS – sind aber unterschiedliche Anfälligkeiten im Netzwerk-Stack.
Ein erfolgreicher Angriff erlaubt es dem Eindringling, sich als interner Systembenutzer anzumelden und dann über NETCONF auf die Netzwerkkonfiguration des SD-WAN-Fabric zuzugreifen. Das bedeutet: Volle Kontrolle über die Netzwerk-Infrastruktur, Umleitung von Datenverkehren, Datenabfluss und mögliche Lateral-Bewegungen ins interne Netzwerk.
Cisco wurde im Mai 2026 auf die begrenzte Ausnutzung aufmerksam. Das Unternehmen empfiehlt Sofortmaßnahmen: SD-WAN-Systeme, die über das Internet erreichbar sind und offene Ports haben, sind besonders gefährdet. Administratoren sollten die Datei “/var/log/auth.log” auf verdächtige Einträge durchsuchen – insbesondere auf akzeptierte Public-Key-Anmeldungen für vmanage-admin von unbekannten IP-Adressen. Auch unerwartete Peering-Verbindungen von nicht erkannten Quellen sind ein Warnzeichen.
Deutsche Unternehmen und Behörden müssen dringend Cisco-Updates einspielen und ihre Systeme auditieren. BSI-Warnungen dürften folgen. Die potenzielle DSGVO-Relevanz (Meldepflicht bei Datenschutzverletzungen, Bußgelder bis zu 4 % des Jahresumsatzes) macht schnelles Handeln zur Compliance-Notwendigkeit.