Kritische Sicherheitslücken in Cisco Catalyst SD-WAN - aktiv ausgenutzt - Updates verfügbar

26. Februar 2026

Beschreibung

In Cisco Catalyst SD-WAN existieren mehrere kritische Sicherheitslücken. Die schwerwiegendste Schwachstelle (CVE-2026-20127) ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, die Authentifizierung zu umgehen und administrative Berechtigungen auf einem betroffenen System zu erlangen. Weitere Schwachstellen betreffen den Cisco Catalyst SD-WAN Manager und ermöglichen unter anderem Authentication Bypass, Privilege Escalation, Information Disclosure und das Überschreiben beliebiger Dateien. Die Schwachstelle CVE-2026-20127 wird aktiv ausgenutzt. Laut mehrerer internationaler Cybersicherheitsbehörden (ASD ACSC, CISA, NCSC-UK, CCCS, NCSC-NZ) wurden Cisco Catalyst SD-WANs mindestens seit 2023 kompromittiert.

CVE-Nummer(n): CVE-2026-20127, CVE-2026-20129, CVE-2026-20126, CVE-2026-20133, CVE-2026-20122, CVE-2026-20128

CVSS Base Score: bis zu 10.0

Auswirkungen

Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung die Peering-Authentifizierung umgehen und sich als vertrauenswürdiger Peer in die SD-WAN Management- und Control-Plane einbringen (CVE-2026-20127, CVSS 10.0). Ebenso kann über die API des SD-WAN Managers ohne Authentifizierung Zugriff mit administrativen Rechten erlangt werden (CVE-2026-20129, CVSS 9.8). Weitere Schwachstellen ermöglichen die Ausweitung von Berechtigungen auf Root-Ebene (CVE-2026-20126, CVSS 7.8), das Auslesen sensibler Informationen (CVE-2026-20133, CVSS 7.5 und CVE-2026-20128, CVSS 5.5) sowie das Überschreiben beliebiger Dateien (CVE-2026-20122, CVSS 7.1).

Betroffene Systeme

  • Cisco Catalyst SD-WAN Controller (ehemals SD-WAN vSmart) – betroffen von CVE-2026-20127
  • Cisco Catalyst SD-WAN Manager (ehemals SD-WAN vManage) – betroffen von allen genannten CVEs
  • Betroffene Versionen: alle vor den unten genannten aktuellsten Versionen, im Detail:
    • Älter als 20.9: Migration auf eine unterstützte Version erforderlich
    • 20.9: behoben in 20.9.8.2
    • 20.11: behoben in 20.12.6.1
    • 20.12.5: behoben in 20.12.5.3
    • 20.12.6: behoben in 20.12.6.1
    • 20.13: behoben in 20.15.4.2
    • 20.14: behoben in 20.15.4.2
    • 20.15: behoben in 20.15.4.2
    • 20.16: behoben in 20.18.2.1
    • 20.18: behoben in 20.18.2.1
  • Hinweis: Cisco Catalyst SD-WAN Manager ab Version 20.18 ist von CVE-2026-20128 und CVE-2026-20129 nicht betroffen.

Abhilfe

Cisco stellt Sicherheitsaktualisierungen bereit. Ein Update auf die oben genannten Versionen wird dringend empfohlen. Es stehen keine Workarounds zur Verfügung, die die Schwachstellen vollständig beheben.

Als temporäre Maßnahme empfiehlt Cisco den Zugriff auf Port 22 und Port 830 mittels ACLs oder Firewall-Regeln auf bekannte Controller-IPs einzuschränken. Management-Interfaces dürfen nicht aus dem Internet erreichbar sein.

Aufgrund der nachgewiesenen aktiven Ausnutzung seit mindestens 2023 wird empfohlen, bestehende Installationen anhand des veröffentlichten Threat Hunt Guide auf Anzeichen einer Kompromittierung zu untersuchen. Im Falle einer festgestellten Kompromittierung sollten betroffene Instanzen (vManage, vSmart, vBond) aus gepatchten Images neu aufgesetzt werden.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Cisco Security Advisory – Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk

Cisco Security Advisory – Cisco Catalyst SD-WAN Vulnerabilities (Englisch)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v

CISA Emergency Directive ED 26-03: Mitigate Vulnerabilities in Cisco SD-WAN Systems (Englisch)
https://www.cisa.gov/news-events/directives/ed-26-03-mitigate-vulnerabilities-cisco-sd-wan-systems

NCSC-UK – Exploitation of Cisco Catalyst SD-WAN (Englisch)
https://www.ncsc.gov.uk/news/exploitation-cisco-catalyst-sd-wans

ASD ACSC-led Cisco SD-WAN Threat Hunt Guide (Englisch)
https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf

Cisco Talos – Active exploitation of Cisco Catalyst SD-WAN by UAT-8616 (Englisch)
https://blog.talosintelligence.com/uat-8616-sd-wan/