Die Entdeckung dieser Schwachstelle erfolgte durch Incident-Response-Spezialisten von Rapid7 im März, während sie die vorherige, ähnliche Lücke in der Cisco SD-WAN-Infrastruktur analysierten. Laut Douglas McKee, Director of Vulnerability Intelligence bei Rapid7, funktioniert CVE-2026-20182 wie ein “Generalschlüssel” – ein Angreifer kann sich gegenüber dem Controller als vertrauenswürdiger Netzwerk-Router ausgeben und erhält, ohne richtige Validierung, höchste Administratorrechte.
Besonders beunruhigend ist, dass Cisco bereits Exploits im März dieses Jahres beobachtet hat. Die Schwachstelle gilt als ideal für staatliche Akteure, die sich langfristig in Netzwerken positionieren möchten – nicht für schnelle “Smash-and-Grab”-Angriffe. Ein SD-WAN-Controller bietet den perfekten Punkt der Kontrolle, da er zentral in Vertrauensbeziehungen sitzt, die Organisationen selten hinterfragen.
Die US-Behörde CISA hatte bereits im Februar eine Notfall-Direktive herausgegeben, koordiniert mit den Five-Eyes-Geheimdiensten (USA, UK, Kanada, Australien, Neuseeland). Diese warnte vor aktiven Exploits durch “fortgeschrittene Bedrohungsakteure”. Nun verschärft CISA die Anforderungen: Bundesbehörden müssen nicht nur Ciscos Patch einspielen, sondern auch zusätzliche Maßnahmen aus der Februar-Direktive umsetzen – darunter die Identifikation aller SD-WAN-Systeme, Log-Analyse und Durchsuchung nach Kompromittierungsindikatoren.
Für deutsche Unternehmen und Behörden mit Cisco SD-WAN-Infrastruktur bedeutet dies Handlungsbedarf. Das BSI wird voraussichtlich ähnliche Sofortmaßnahmen empfehlen. Betroffene Organisationen sollten sofort ihren Patch-Status überprüfen und Sicherheitslogs auf verdächtige Aktivitäten analysieren. Eine Meldung von Sicherheitsverletzungen gegenüber Behörden und betroffenen Personen ist gemäß DSGVO und NIS-Richtlinie in Deutschland verpflichtend.