Cisco hat seinen ursprünglichen Sicherheitshinweis zu Catalyst SD-WAN aktualisiert und darin auf die aktive Ausnutzung zweier Schwachstellen hingewiesen. Zuvor hatte der Hersteller Patches für insgesamt fünf Lücken in Catalyst SD-WAN bereitgestellt; zwei davon werden nun nachweislich angegriffen.
Bei CVE-2026-20128 handelt es sich um eine Schwachstelle zur Informationsoffenlegung, die die Funktion Data Collection Agent (DCA) des Catalyst SD-WAN Manager betrifft. Ein authentifizierter, lokaler Angreifer kann darüber die Rechte des DCA-Benutzers auf dem betroffenen System erlangen.
CVE-2026-20122 ist dagegen ein Fehler, der das Überschreiben beliebiger Dateien erlaubt und die API des Catalyst SD-WAN Manager betrifft. Ein entfernter, authentifizierter Angreifer kann damit beliebige Dateien auf dem System überschreiben und erweiterte Rechte erlangen.
Nähere Angaben zu den beobachteten Angriffen machte Cisco nicht. Aus der Beschreibung des Unternehmens geht jedoch hervor, dass die beiden Schwachstellen mit weiteren Lücken verkettet wurden.
Die Mitteilung erfolgt rund eine Woche, nachdem Cisco bereits vor der Ausnutzung einer kritischen Zero-Day-Lücke in Catalyst SD-WAN gewarnt hatte. Diese unter CVE-2026-20127 geführte Schwachstelle lässt sich aus der Ferne ausnutzen, um die Authentifizierung zu umgehen und Administratorrechte auf einem verwundbaren Gerät zu erlangen.
Wie CISA und weitere Cybersicherheitsbehörden berichteten, wurde CVE-2026-20127 mit einer älteren Catalyst-Schwachstelle, CVE-2022-20775, verkettet, um die Authentifizierung zu umgehen, Rechte auszuweiten und sich dauerhaft auf dem angegriffenen System einzunisten. Cisco Talos brachte diese Angriffe mit UAT-8616 in Verbindung, einem hochentwickelten Bedrohungsakteur, der mindestens seit 2023 aktiv ist.
Ob alle genannten Catalyst-SD-WAN-Schwachstellen im Rahmen derselben oder unterschiedlicher Kampagnen ausgenutzt wurden, ist offen. Cisco hatte zuletzt zudem vor Zero-Day-Angriffen einer mit China in Verbindung gebrachten APT-Gruppe gewarnt, die unter der Bezeichnung UAT-9686 geführt wird.
