Cisco stuft die Schwachstelle mit dem maximalen Schweregrad von 10 von 10 Punkten ein. Nach Darstellung des Herstellers erlaubt CVE-2026-20182 einem nicht authentifizierten, entfernten Angreifer, die Authentifizierung zu umgehen und administrative Rechte auf einem betroffenen System zu erlangen. Den Patch stellte Cisco am Donnerstag bereit; eine Ausnutzung in freier Wildbahn wurde in diesem Monat beobachtet.

Aufgespürt hat den Fehler das Sicherheitsunternehmen Rapid7. Dessen Einsatzkräfte stießen darauf, während sie eine frühere, vergleichbare Schwachstelle untersuchten, die in einem anderen Teil des Netzwerk-Stacks angesiedelt war. Douglas McKee, bei Rapid7 für die Schwachstellen-Analyse zuständig, verglich die Lücke in einem Blogbeitrag mit einem Generalschlüssel.

„Ein Angreifer kann sich gegenüber dem Controller als vertrauenswürdiger Netzwerk-Router ausgeben, und wenn das System diese Behauptung ohne ordnungsgemäße Prüfung akzeptiert, kann er die höchste Stufe administrativen Zugriffs erlangen“, schrieb McKee. Er verglich das Vorgehen mit einem Jedi-Gedankentrick: Dem Controller werde gewissermaßen eingeredet, etwas zu vertrauen, dem er keinerlei Vertrauen schenken dürfte – so, als winke ein Angreifer mit der Hand und sage: „Das sind nicht die Droiden, die ihr sucht.“ Bei CVE-2026-20182 nicke der Controller einfach und lasse sie passieren.

In ihrer eigenen Mitteilung verlangt CISA, dass Bundesbehörden nicht nur den Cisco-Patch einspielen, sondern zusätzlich der im Februar erlassenen Notfallanweisung folgen. Diese verpflichtete alle Behörden, sämtliche Cisco-SD-WAN-Systeme in ihren Netzwerken zu identifizieren, Protokolle zu erfassen, nach Spuren einer Kompromittierung zu suchen und die Informationen binnen weniger Tage an CISA zu liefern. Auf Anfragen, welche neuen Fristen für die an die Behörde zu übermittelnden Informationen gelten, reagierte CISA nicht.

Die Notfallanweisung vom Februar war mit den Cybersicherheitsbehörden der Geheimdienstallianz Five Eyes abgestimmt. Alle beteiligten Stellen warnten damals eindringlich davor, dass „ein fortgeschrittener Bedrohungsakteur“ die Schwachstellen in Cisco-Netzwerktechnik aktiv ausnutze.

McKee weist darauf hin, dass sich CVE-2026-20182 – wie schon die Lücke aus dem Februar – besonders für staatlich gesteuerte Akteure eigne, die sich frühzeitig in Opfernetzwerken festsetzen wollen. „Sie sind in der Regel nicht auf einen schnellen Zugriff aus. Sie wollen Persistenz. Sie wollen einen Zugang, der nicht auffällt. Sie wollen lange genug an der richtigen Stelle sitzen, um zu beobachten, zu beeinflussen und im richtigen Moment weiterzuspringen“, schrieb er. Ein SD-WAN-Controller sei dafür ideal, weil er inmitten von Vertrauensbeziehungen liege, die in den meisten Organisationen selten hinterfragt würden.