Cisco Catalyst SD-WAN ist eine softwarebasierte Netzwerkplattform, die Außenstellen, Rechenzentren und Cloud-Umgebungen über ein zentral verwaltetes System verbindet. Ein Controller leitet den Verkehr zwischen den Standorten über verschlüsselte Verbindungen. Genau an dieser Stelle setzt CVE-2026-20182 an: Laut Cisco arbeitet der Peering-Authentifizierungsmechanismus “nicht korrekt”. Angreifer könnten dies durch gezielt präparierte Anfragen ausnutzen und sich als interner, hochprivilegierter Nutzer anmelden. Über das damit erreichbare NETCONF lasse sich die Netzwerkkonfiguration des SD-WAN-Verbunds manipulieren.

Praktisch bedeutet das: Ein Angreifer kann ein nicht autorisiertes Peer-Gerät registrieren, das im SD-WAN-Verbund legitim erscheint. Dieses Gerät kann anschließend verschlüsselte Verbindungen aufbauen und Netzwerke unter der Kontrolle des Angreifers ankündigen — ein möglicher Weg, tiefer in das Netzwerk einer Organisation vorzudringen.

Die von Cisco veröffentlichten Indikatoren für eine Kompromittierung (IOCs) raten Administratoren, die Controller-Protokolle auf unautorisierte Peering-Ereignisse zu prüfen, die auf den Versuch hindeuten können, betrügerische Geräte einzuschleusen. Konkret sollte die Datei /var/log/auth.log auf Einträge wie “Accepted publickey for vmanage-admin” von unbekannten IP-Adressen geprüft werden. Diese Adressen lassen sich mit den konfigurierten System-IPs in der Weboberfläche des Cisco Catalyst SD-WAN Manager (unter WebUI > Devices > System IP) abgleichen. Hat sich eine unbekannte IP-Adresse erfolgreich authentifiziert, sollte das Gerät als kompromittiert gelten und ein Cisco-TAC-Fall eröffnet werden.

Entdeckt wurde die Lücke von Rapid7 im Zuge der Untersuchung einer anderen Cisco-SD-WAN-Controller-Schwachstelle, CVE-2026-20127, die im Februar behoben wurde. Auch diese Lücke wurde in Zero-Day-Angriffen ausgenutzt — laut Cisco seit 2023 durch einen als “UAT-8616” geführten Bedrohungsakteur, um in Organisationen betrügerische Peers anzulegen.

Cisco hat Sicherheitsupdates veröffentlicht und betont, dass es keine vollständig wirksamen Umgehungslösungen gibt. Empfohlen wird, den Zugriff auf die Management- und Control-Plane-Schnittstellen des SD-WAN auf vertrauenswürdige interne Netze oder autorisierte IP-Adressen zu beschränken und die Authentifizierungsprotokolle auf auffällige Anmeldungen zu prüfen. Insbesondere sollten Protokolle aller aus dem Internet erreichbaren Catalyst-SD-WAN-Controller auf Hinweise für unautorisierten Zugriff oder Peering-Aktivität durchgesehen werden. Der einzige Weg zur vollständigen Behebung sei das Einspielen einer korrigierten Softwareversion.

Die US-Behörde CISA hat CVE-2026-20182 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und Bundesbehörden angewiesen, betroffene Geräte bis zum 17. Mai 2026 zu patchen.