Auf den Punkt: CVE-2026-20245 in Cisco SD-WAN Manager wird bereits aktiv ausgebeutet und erfordert lokale Authentifizierung sowie netadmin-Privilegien, kann aber durch Exploits älterer Authentication-Bypass-Lücken chain werden.
Cisco informiert über eine aktiv ausgebeutete Hochrisiko-Schwachstelle (CVE-2026-20245) im Catalyst SD-WAN Manager, die lokalen Angreifern mit netadmin-Rechten die Eskalation zu Root ermöglicht. Patches sind noch nicht verfügbar.
Die Schwachstelle CVE-2026-20245 ist im Command-Line-Interface (CLI) des Catalyst SD-WAN Manager lokalisiert und ermöglicht es authentifizierten Angreifern, ihre Privilegien zur Root-Ebene zu eskalieren und damit die vollständige Kontrolle über das System zu übernehmen. Die CVSS-Bewertung liegt bei 7.8 (High), nicht Critical, weil die Ausnutzung lokale Netzwerk-Admin-Privilegien voraussetzt. Diese Privilegien können durch gestohlene Anmeldedaten oder durch Exploits älterer Authentication-Bypass-Lücken wie CVE-2026-20245 (behoben im Mai) oder CVE-2026-20127 (behoben im Februar) erlangt werden.
Cisco weist auf unzureichende Validierung von Benutzereingaben hin: Angreifer könnten durch das Hochladen einer präparierten Datei Command-Injection-Angriffe durchführen und ihre Rechte auf Root-Ebene eskalieren. Google Mandiant hat die Schwachstelle Cisco gemeldet. Die älteren Authentifizierungs-Bypass-Flaws wurden bereits von der Cyberespionage-Gruppe UAT-8616 ausgebeutet, die mehrfach gegen Enterprise-SD-WAN-Deployments vorgegangen ist. Unklar ist, ob UAT-8616 auch CVE-2026-20245 nutzt.
Da noch kein Patch verfügbar ist, empfiehlt Cisco, auf die neueste verfügbare Version zu aktualisieren, um zu verhindern, dass die älteren Authentication-Bypass-Exploits wirken. Administratoren sollten die Konfiguration ihrer Edge-Devices überprüfen, da Cisco Fälle dokumentiert hat, bei denen die Ausnutzung dieser Lücke zu Konfigurationsänderungen führte. Vor einem Update sollten alle relevanten Log-Dateien gesichert und der Befehl `admin-tech` von jeder Kontrollkomponente ausgeführt werden.
Cisco hat Indikatoren für Kompromittierung veröffentlicht, die sich in der Datei `/var/log/scripts.log` zeigen sollten. Die Unterscheidung zwischen böswilligen und legitimen Befehlen ist jedoch schwierig. Werden Indikatoren gefunden, empfiehlt Cisco, das Technical Assistance Center zu kontaktieren. Ein bloßes Software-Update reicht nicht aus, wenn das System nachweislich kompromittiert wurde — in diesem Fall müssen spezifische Abhilfeschritte vom Cisco Technical Assistance Center durchgeführt werden.
Quelle: www.csoonline.com · Erschienen 8. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.