CVE-2026-20133 ermöglicht laut VulnCheck einen Dateisystemzugriff, über den die Forscher den privaten Schlüssel des standardmäßig vorhandenen Nutzers “vmanage-admin” auslesen konnten. Mit diesem Schlüssel ließ sich das Network Configuration Protocol (NETCONF) kompromittieren, das zur Konfiguration und Verwaltung der SD-WAN-Geräte dient.
Zusätzlich extrahierten die Forscher ein gemeinsames Geheimnis für die interne Kommunikation – “confd_ipc_secret” –, mit dem jeder lokale Nutzer seine Rechte bis auf Root-Ebene ausweiten könnte. Über solche Geheimnisse könnten Angreifer Konfigurationsänderungen in das Netzwerk einspielen sowie ein- und ausgehenden Datenverkehr manipulieren.
Wie viele Cisco SD-WAN Manager aus dem Internet erreichbar sind, konnte VulnCheck nicht genau bestimmen: Verschiedene Suchmaschinen lieferten zwischen 275 und mehreren tausend Treffern. Neben dem Einspielen der Patches können Organisationen ihre Angriffsfläche verringern, indem sie die Systeme aus dem offen erreichbaren Web nehmen.
Kurz nach Ciscos Sicherheitshinweis tauchten mehrere PoCs auf, die angeblich gegen CVE-2026-20127 funktionieren. Mehrere davon waren laut VulnCheck nicht funktionsfähig oder eindeutig betrügerisch. “Manchmal sind PoCs völlig gefälscht, nicht funktionsfähig oder bösartig”, sagt Caitlin Condon, Vice President of Security Research bei VulnCheck. Eine Welle KI-generierter Schrott-PoCs zu neu aufgetauchten Lücken sei heute nicht ungewöhnlich; gültige, öffentliche PoCs sehe man in den ersten Tagen nach einer Offenlegung dagegen seltener.
Der bemerkenswerteste PoC zu CVE-2026-20127 stammte vom GitHub-Nutzer “zerozenxlabs”. Er war nicht gefälscht und funktionierte – hatte aber mit der angeblich ausgenutzten Schwachstelle nichts zu tun. Tatsächlich handelte es sich um eine Exploit-Kette, die drei der anderen neuen Lücken verband: Sie kombinierte CVE-2026-20128 und CVE-2026-20133, um eine Anmeldedaten-Datei auszulesen, und nutzte anschließend CVE-2026-20122 über die API, um eine Webshell hochzuladen.
Für Condon zeigt sich daran, dass öffentlicher PoC-Code als erstrangiges Risikosignal rasch an Wert verliere. Für viele überlastete Organisationen sei der öffentliche PoC bislang oft der Moment gewesen, an dem dringender Handlungsdruck entstand – getreu dem Branchenspruch “PoC or GTFO”. Stattdessen sollten sich Organisationen an nachgewiesener Ausnutzung in freier Wildbahn orientieren. Überzeugend gefälschte PoCs ließen sich oft kaum als Fälschung erkennen, weshalb reale Ausnutzungssignale wichtiger geworden seien.
Der erste belastbare, überprüfbare PoC für CVE-2026-20127 erschien schließlich am 11. März, erstellt von einem Sicherheitsforscher von Rapid7. VulnCheck rechnet daraufhin mit zunehmenden realen Ausnutzungsversuchen.
Die Debatte berührt eine alte Frage: Helfen Forscher mit der Veröffentlichung funktionierender PoCs den Angreifern mehr als den Verteidigern? Condon verteidigt die Rolle der Forschung. Ein Drittel der Schwachstellen aus dem Jahr 2025 habe noch keinen öffentlichen Exploit-Code – doch viele davon würden bereits von mehreren Ransomware-Gruppen genutzt. In solchen Fällen besäßen allein die Angreifer den vollständigen Exploit. Ob es besser sei, wenn diese Fähigkeit ausschließlich – und oft gleich mehreren – Gegnern vorbehalten bleibe, überlasse sie den Lesern; ihre eigene Position dazu sei ein klares Nein.
