Zum Inhalt springen

Cisco Catalyst SD-WAN Controller: Kritische Authentifizierungslücke aktiv ausgenutzt

Auf den Punkt: Cisco behebt kritische Authentifizierungslücke (CVE-2026-20182, CVSS 10,0) im SD-WAN Controller, die bereits aktiv ausgenutzt wird. Unpatched Systeme ermöglichen unauthentifizierten Angreifern Admin-Zugriff und Kontrolle über die gesamte SD-WAN-Infrastruktur.

Cisco hat Sicherheitspatches für eine kritische Authentifizierungslücke (CVE-2026-20182) im Catalyst SD-WAN Controller veröffentlicht. Die Schwachstelle mit maximaler CVSS-Bewertung von 10,0 wird bereits in gezielten Angriffen ausgenutzt und ermöglicht unauthentifizierten Angreifern, Admin-Zugriff zu erlangen.

Die Sicherheitslücke befindet sich im Peering-Authentifizierungsprozess des Catalyst SD-WAN Controllers (ehemals SD-WAN vSmart) und des Catalyst SD-WAN Managers (ehemals SD-WAN vManage). Ein unauthentifizierter Angreifer kann die Authentifizierung umgehen und Administratorzugriff auf betroffene Systeme erlangen.

Die Wurzelursache liegt in einem Fehler des Peering-Authentifizierungsmechanismus, der durch speziell manipulierte Anfragen ausgelöst wird. Bei erfolgreicher Ausnutzung können Angreifer sich als privilegierter interner Benutzer anmelden und über NETCONF-Zugriff die gesamte SD-WAN-Infrastruktur kompromittieren.

Betroffen sind On-Premise-Implementierungen, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (verwaltetes Angebot von Cisco) sowie Cisco SD-WAN for Government (FedRAMP). Laut Sicherheitsforscher Rapid7, die die Lücke entdeckt haben, ähnelt CVE-2026-20182 der vorherigen kritischen Authentifizierungslücke CVE-2026-20127. Die neue Schwachstelle betrifft den vdaemon-Service über DTLS (UDP-Port 12346) und wird den Forschern zufolge bereits seit mindestens 2023 von der Bedrohungsgruppe UAT-8616 aktiv ausgenutzt.

Share on: