Mandiant stieß laut einem Blogeintrag der Forscher Chester Sng, Pete Boonyakarn und Logeswaran Nadarajan auf CVE-2026-20245 bei der Untersuchung von Angriffen auf die SD-WAN-Infrastruktur eines Dienstleisters. Diese Angriffe richteten sich zwischen Ende 2025 und Januar 2026 gegen dessen Umgebung.

Nach Darstellung von Mandiant verschaffte sich der Bedrohungsakteur den Erstzugang über „unerlaubte Peering-Verbindungen“ zu den SD-WAN-Manager-Geräten des Opfers. Wahrscheinlich nutzte er dazu eine der beiden bereits zuvor veröffentlichten Zero-Day-Schwachstellen im Catalyst SD-WAN Controller aus: CVE-2026-20127 oder CVE-2026-20182. Peering beschreibt laut Mandiant den Mechanismus, mit dem sich verschiedene Komponenten in einem SD-WAN — etwa Edge-Router und zentrale Steuerungssysteme — per kryptografischem Zertifikat gegenseitig authentisieren, um sicher Daten auszutauschen.

Im März beobachteten die Forscher weitere Angriffe auf dieselbe SD-WAN-Umgebung des Dienstleisters. Auch hier erfolgte der Erstzugang über unerlaubtes Peering. Diesmal scheinen die Verbindungen jedoch über eine andere Methode aufgebaut worden zu sein, wahrscheinlich unter Verwendung gestohlener Zugangsdaten. Nachdem die Angreifer die unbefugte Peering-Verbindung hergestellt hatten, authentisierten sie sich erfolgreich am SD-WAN-Manager-Gerät und nutzten anschließend die damals noch unbekannte Schwachstelle aus, die später als CVE-2026-20245 erfasst wurde, um ihre Rechte auszuweiten.

Wie Mandiant festhielt, ermöglichte die Lücke einem „authentifizierten lokalen Angreifer, beliebige Befehle als Root auszuführen, indem er eine präparierte Datei an das betroffene System übergibt“. Danach betrieb der Angreifer laut den Forschern einen umfangreichen Versuch, Spuren zu beseitigen: Er löschte schädliche Dateien, machte Konfigurationsänderungen rückgängig und führte ein Prüfskript aus, um sicherzustellen, dass Hinweise auf die Kompromittierung entfernt wurden. Ob dieselbe Gruppe hinter den Angriffen zwischen Ende 2025 und den beobachteten Aktivitäten im März 2026 stand, ist laut Mandiant unklar.

Cisco hatte CVE-2026-20245 acht Tage vor der Bereitstellung der endgültigen Patches erstmals offengelegt und darauf hingewiesen, dass die Lücke nur dann direkt ausnutzbar sei, wenn Angreifer bereits über gültige Netadmin-Rechte verfügen. Alternativ könne sie mit den beiden zuvor bekannt gewordenen Zero-Days CVE-2026-20182 oder CVE-2026-20127 verkettet werden.

CVE-2026-20182 ist nach Angaben im Quelltext eine Schwachstelle zur Umgehung der Authentifizierung mit maximalem Schweregrad im SD-WAN Controller, die Cisco nach einem Bericht von Rapid7 offenlegte. Rapid7 zufolge kann ein entfernter, nicht authentifizierter Angreifer dadurch „zu einem authentifizierten Peer des Zielsystems werden und privilegierte Operationen ausführen“.

Auch CVE-2026-20127 ist eine Schwachstelle zur Umgehung der Authentifizierung im SD-WAN Controller. Cisco machte sie im Februar öffentlich und schrieb ihre Entdeckung dem Australian Cyber Security Centre zu. Damals erklärte das Unternehmen, es kenne Angriffe auf diese Lücke und ordnete sie dem Bedrohungsakteur UAT-8616 zu, der den Fehler offenbar bereits seit mindestens 2023 ausgenutzt hatte.

Mandiant sieht in den Angriffen auf Ciscos SD-WAN-Technologie ein Zeichen für das wachsende Interesse von Bedrohungsakteuren an internetseitig erreichbaren Netzwerkgeräten und deren Management-Schnittstellen statt an klassischen Endpunkten. Solche Geräte böten „eine Blackbox-Umgebung für Bedrohungsakteure“: Häufig fehle die für tiefgehende forensische Analysen nötige Telemetrie, während ihre Rolle als zentrale Steuerungsebene einen unauffälligen Ausgangspunkt für dauerhaften und breit angelegten Zugriff auf internen Unternehmensverkehr liefere. Die Forscher empfehlen Organisationen mit betroffenen Geräten, Ciscos Patches für die verschiedenen Schwachstellen umgehend einzuspielen, die Härtungs- und Protokollierungsempfehlungen für Catalyst SD-WAN umzusetzen und nach bekannten Kompromittierungsindikatoren zu suchen.