Kritische Lücke in Cisco Catalyst SD-WAN: Behörden melden aktive Ausnutzung
Eine kritische Authentifizierungs-Schwachstelle in Cisco Catalyst SD-WAN (CVE-2026-20127) wird nach Behördenangaben aktiv ausgenutzt und kann Admin-Rechte ermöglichen.
- Das kanadische Cyber Centre berichtet von aktiver Ausnutzung und von Vorfällen mit eingeschleusten „rogue peers“ in SD‑WAN‑Konfigurationen.
- Betroffen sind Cisco Catalyst SD‑WAN Controller (vSmart) und SD‑WAN Manager (vManage) im Peering‑Authentifizierungsprozess.
- Laut Hinweis steigt das Risiko bei internet-exponierten Management- oder Control-Planes mit offenen Ports.
- Fixes liegen für mehrere Release-Zweige vor, und für den älteren 20‑9‑Zweig ist ein Patch für den 27. Februar 2026 avisiert.
- CERTs verweisen zusätzlich auf Threat‑Hunt‑Guides und Hardening‑Empfehlungen für SD‑WAN‑Umgebungen.
Behörden und Sicherheitsforscher warnen vor einer kritischen Schwachstelle in Cisco Catalyst SD‑WAN, die bereits aktiv ausgenutzt wird. Das Canadian Centre for Cyber Security führt die Lücke unter CVE‑2026‑20127 und beschreibt sie als „Improper Authentication“-Problem in der Peering‑Authentifizierung von Cisco Catalyst SD‑WAN Controller (früher vSmart) und Cisco Catalyst SD‑WAN Manager (früher vManage). Ein nicht authentifizierter Angreifer kann demnach die Authentifizierung umgehen und administrative Rechte auf betroffenen Systemen erlangen.
Die Warnung ist für Betreiber von SD‑WAN‑Infrastruktur besonders relevant, weil die betroffenen Komponenten als Steuer- und Management-Ebene fungieren. Laut dem kanadischen Hinweis sind insbesondere Systeme gefährdet, deren Management- oder Control‑Plane aus dem Internet erreichbar ist und bei denen entsprechende Ports offen sind. Betroffen sind mehrere Betriebsmodelle: On‑Prem‑Installationen ebenso wie verschiedene Varianten von Cisco‑gehosteten SD‑WAN‑Cloud‑Umgebungen, einschließlich FedRAMP‑Konfigurationen.
Das Cyber Centre berichtet außerdem von konkreten Vorfällen: In kompromittierten Umgebungen seien „malicious rogue peers“ zur SD‑WAN‑Konfiguration hinzugefügt worden. Das habe Folgehandlungen ermöglicht – darunter administrativen Zugriff, Persistenz und langfristigen Zugriff auf SD‑WAN‑Netze. Damit rückt nicht nur die initiale Schwachstelle, sondern auch das Risiko für nachgelagerte Netzwerkmanipulation in den Fokus, etwa durch das Einschleusen zusätzlicher Kontrollpunkte oder das Verändern von Routing‑ und Policy‑Elementen.
Zu den Gegenmaßnahmen werden in den behördlichen Hinweisen vor allem Upgrades auf korrigierte Softwarestände genannt. Für ältere Releases „earlier than 20.9“ wird eine Migration in einen gefixten Release‑Zweig genannt. Für den 20.9‑Zweig ist laut kanadischer Warnung eine korrigierte Version 20.9.8.2 mit „Estimated release February 27, 2026“ angekündigt. Für weitere Linien werden konkrete Fix-Versionen aufgeführt, darunter 20.12.5.2, 20.12.6.1, 20.15.4.2 und 20.18.2.1.
Parallel dazu verweisen Behörden und Partner-CERTs auf forensische und präventive Leitfäden: Artefakte wie Logs und Snapshots sollen gesichert werden; außerdem werden Threat‑Hunting‑Anleitungen und Hardening‑Guidance für Catalyst SD‑WAN genannt. Cisco Talos ordnet die Lage als aktive Kampagne ein und beschreibt eine Bedrohungsgruppe („UAT‑8616“), die SD‑WAN‑Geräte über kompromittierte Peer‑Beziehungen angreife.