Cisco schließt aktiv ausgenutzte Zero-Day-Lücke in Catalyst SD-WAN Manager

Der jetzt behobene Fehler geht laut Cisco auf eine unzureichende Prüfung von durch Nutzer gelieferten Eingaben beim Hochladen von Dateien zurück. In einem Sicherheitshinweis vom Montag beschreibt der Hersteller die Auswirkung zunächst auf Dateiebene: Eine Schwachstelle in der Web-Oberfläche von Cisco Catalyst SD-WAN Manager könne es einem authentifizierten entfernten Angreifer ermöglichen, eine Datei zu erstellen oder beliebige Dateien im Dateisystem des betroffenen Systems zu überschreiben.

Ausgenutzt werde die Lücke über eine präparierte HTTP-Anfrage an einen betroffenen API-Endpunkt. Ein erfolgreicher Angriff könne dazu führen, dass auf dem zugrunde liegenden Betriebssystem beliebige Dateien erstellt oder überschrieben werden. Diese Datei könne später zur Eskalation auf Root-Rechte verwendet werden. Im einleitenden Teil des Hinweises beschreibt Cisco die Ausnutzung bereits als Möglichkeit, auf Root-Rechte zu eskalieren.

Betroffen sind laut Hersteller sämtliche Bereitstellungsmodelle des Produkts, unabhängig von der jeweiligen Gerätekonfiguration. Cisco nennt ausdrücklich lokale Umgebungen, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (Cisco Managed) sowie Cisco SD-WAN for Government (FedRAMP).

Cisco machte keine näheren Angaben zu den beobachteten Angriffen. Das Unternehmen veröffentlichte jedoch Indicators of Compromise und forderte Administratoren auf, die Protokolle von SD-WAN vmanage-server, vmanage-appserver und serviceproxy-access auf Versuche zum Hochladen von index.jsp- und .war-Dateien zu prüfen.

Nach Angaben von Cisco wurde das Product Security Incident Response Team in diesem Monat auf die Ausnutzung von CVE-2026-20262 aufmerksam. Der Hersteller riet Kunden nachdrücklich, die bereitgestellten Updates einzuspielen.

Die neue Warnung reiht sich in mehrere jüngere Fälle rund um die Plattform ein. Im Februar hatte Cisco bereits eine Informationsleck-Schwachstelle in Catalyst SD-WAN Manager mit der Kennung CVE-2026-20133 geschlossen; Ende April wurde sie als aktiv ausgenutzt markiert. Zwei Wochen später warnte das Unternehmen vor zwei weiteren Schwachstellen, CVE-2026-20128 und CVE-2026-20122, die ebenfalls bereits in freier Wildbahn missbraucht wurden.

Im vergangenen Monat kennzeichnete Cisco zudem eine Schwachstelle mit maximalem Schweregrad im Catalyst SD-WAN Controller, CVE-2026-20182, als aktiv ausgenutzte Zero-Day-Lücke. Sie ermöglichte laut Hersteller die Umgehung der Authentifizierung, um auf ungepatchten Geräten Administratorrechte zu erlangen. Anfang Juni warnte Cisco außerdem vor einer weiteren ungepatchten Zero-Day-Lücke im Catalyst SD-WAN Manager, CVE-2026-20245, die in Angriffen ausgenutzt wurde und Angreifern Root-Rechte verschaffen konnte.

Über mehrere Jahre hinweg hat die Cybersecurity and Infrastructure Security Agency nach Angaben im Quelltext 91 Cisco-Schwachstellen als in freier Wildbahn ausgenutzt markiert. Fünf davon betrafen Cisco Catalyst SD-WAN Manager, sechs weitere wurden demnach in Ransomware-Angriffen ausgenutzt.