Cisco schließt weiteres aktiv ausgenutztes Zero-Day in Catalyst SD-WAN Manager

Zusammenfassung

Cisco hat Kunden vor einem weiteren Zero-Day in seinem SD-WAN-Portfolio gewarnt, das bereits bei Angriffen ausgenutzt wird. Betroffen ist Catalyst SD-WAN Manager, wo die nun als CVE-2026-20262 geführte Schwachstelle beliebige Dateischreibvorgänge auf dem zugrunde liegenden Betriebssystem ermöglicht. Nach Angaben des Herstellers kann ein Angreifer speziell präparierte HTTP-Anfragen an einen betroffenen API-Endpunkt senden, um beliebige Dateien zu erstellen oder zu überschreiben. Cisco stuft die Lücke als Problem mittlerer Schwere ein. Für eine erfolgreiche Ausnutzung sind laut Hersteller gültige Zugangsdaten mit mindestens Schreibrechten erforderlich. Cisco erklärte zudem, die Datei könne später für eine Ausweitung der Rechte bis auf Root-Ebene genutzt werden. Das Unternehmen entdeckte die Schwachstelle nach eigenen Angaben intern und wurde im Juni 2026 auf ihre Ausnutzung aufmerksam. Die US-Behörde CISA nahm CVE-2026-20262 am Montag in ihren Katalog der bekannt ausgenutzten Schwachstellen auf und forderte Bundesbehörden auf, das Problem bis zum 29. Juni zu beheben.

Die Schwachstelle CVE-2026-20262 betrifft Catalyst SD-WAN Manager von Cisco und erlaubt beliebige Dateischreibvorgänge. Laut Cisco lässt sich das Problem über speziell gestaltete HTTP-Anfragen gegen einen betroffenen API-Endpunkt ausnutzen. Dadurch können Angreifer beliebige Dateien auf dem zugrunde liegenden Betriebssystem anlegen oder überschreiben.

Cisco weist darauf hin, dass sich eine so geschriebene Datei später zur Rechteausweitung bis auf Root-Ebene nutzen lassen könne. Voraussetzung für die Ausnutzung sind nach Angaben des Unternehmens jedoch gültige Zugangsdaten mit mindestens Schreibzugriff. Ob die Angreifer kompromittierte Zugangsdaten missbraucht oder CVE-2026-20262 mit anderen Schwachstellen verkettet haben, ist laut Bericht unklar.

Der Hersteller erklärte, die Schwachstelle intern entdeckt zu haben. Außerdem sei Cisco im Juni 2026 auf ihre Ausnutzung aufmerksam geworden. Öffentliche Informationen zu konkreten Angriffen auf Basis dieses neuen Zero-Day gibt es demnach bislang nicht, ebenso ist unklar, wer hinter den Attacken steckt.

Cisco machte jedoch deutlich, dass CVE-2026-20262 in begrenzten Angriffen ausgenutzt wurde. Der Bericht wertet das als Hinweis auf eine stark zielgerichtete Operation durch einen technisch versierten, möglicherweise staatlich unterstützten Akteur. Diese Einordnung stammt jedoch nicht von Cisco als bestätigte Zuschreibung, sondern ergibt sich aus der Beschreibung der begrenzten Angriffe.

Am Montag nahm die Cybersecurity and Infrastructure Security Agency, kurz CISA, CVE-2026-20262 in ihren Katalog der Known Exploited Vulnerabilities auf. Die Behörde wies Bundesbehörden an, die Schwachstelle bis zum 29. Juni zu beheben.

CVE-2026-20262 ist bereits die achte Cisco-SD-WAN-Schwachstelle, deren Ausnutzung im Jahr 2026 entdeckt wurde. In dieser Liste nennt der Bericht außerdem CVE-2026-20182, CVE-2026-20127, CVE-2026-20128, CVE-2026-20122, CVE-2026-20133, CVE-2022-20775 und CVE-2026-20245.

Zu CVE-2026-20245 hatte Cisco am 4. Juni bereits offengelegt, dass es sich um ein Zero-Day handelt. Laut Bericht dauerte es anschließend fast eine Woche, bis das Unternehmen mit der Bereitstellung von Patches begann.

Cisco schließt weiteres aktiv ausgenutztes Zero-Day in Catalyst SD-WAN Manager

Ähnliche Artikel

Neueste Artikel