Folgen 
Cisco hat eine siebte SD-WAN Zero-Day-Schwachstelle offengelegt, die 2026 ausgenutzt wurde und als CVE-2026-20245 verfolgt wird. Der Fehler betrifft die Kommandozeilenschnittstelle des Cisco Catalyst SD-WAN Managers und kann einem authentifizierten entfernten Angreifer mit Netadmin-Rechten erlauben, beliebige Befehle als Root durch das Hochladen einer manipulierten Datei auszuführen. Cisco sagt, dass die Ausnutzung bereits in begrenzten Fällen beobachtet wurde, einschließlich Vorfälle, bei denen Konfigurationsänderungen an Edge-Geräte übertragen wurden.
Das Risiko wird durch die Zugangsvoraussetzungen verstärkt. Cisco sagt, dass der Angreifer bereits Netadmin-Rechte haben muss, die durch gestohlene Zugangsdaten oder durch das Kombinieren zuvor offengelegter SD-WAN-Schwachstellen wie CVE-2026-20182 oder CVE-2026-20127 stammen können. Laut Ciscos Offenlegung, zusammengefasst von Help Net Security und SecurityWeek, betrifft das Problem alle Cisco Catalyst SD-WAN Bereitstellungstypen, einschließlich On-Prem, Cloud-Pro, Cisco Managed Cloud und FedRAMP-Umgebungen.
Analyse von CVE-2026-20245
Für die Analyse von CVE-2026-20245 ist die Hauptschwäche die unzureichende Validierung der vom Benutzer eingegebenen Daten in der CLI des SD-WAN Managers. Die öffentliche Beschreibung von Cisco besagt, dass ein authentifizierter Angreifer eine manipulierte Datei hochladen und eine Befehlsinjektion auslösen kann, die letztendlich die Berechtigungen auf Root im betroffenen System erhöht. SecurityWeek fügt hinzu, dass Cisco PSIRT im Juni 2026 von der Ausnutzung erfahren hat, was darauf hindeutet, dass die Offenlegung beschleunigt wurde, weil der Fehler bereits in freier Wildbahn missbraucht wurde.
Die wichtigsten Details für CVE-2026-20245 sind, dass dies an sich kein unautentifizierter Remote-Fehler ist und dass der Exploit-Pfad eng mit zuvorigen SD-WAN-Kompromißaktivitäten verbunden zu sein scheint. Cisco ist sich keiner erfolgreichen Ausnutzung durch eine andere Methode bewusst als der, zuerst den erforderlichen privilegierten Zugang zu erlangen, weshalb Verteidiger das Problem als Teil einer breiteren SD-WAN-Einbruchskette und nicht als unabhängigen Initialzugriffsvektor behandeln sollten.
Zum Zeitpunkt der Offenlegung wiesen die zitierten Quellen nicht auf eine öffentliche CVE-2026-20245 PoC hin, aber Cisco bestätigte die aktive Ausnutzung und sagte, dass Mandiant den Fehler gemeldet hat. In praktischen Begriffen ist die Payload des Angreifers für CVE-2026-20245 eine manipulierte Datei, die durch den CLI-Workflow hochgeladen wird, um eine Befehlsinjektion und Root-Level-Ausführung auszulösen, nicht ein herkömmlicher Malware-Dropper, der von außerhalb der Appliance geliefert wird.
Aus betrieblicher Sicht betrifft CVE-2026-20245 einige der empfindlichsten Systeme in einer SD-WAN Bereitstellung, weil der SD-WAN Manager auf der Management-Ebene sitzt. Cisco sagte, dass beobachtete Ausnutzung zu Konfigurationsänderungen führte, die an Edge-Geräte übertragen wurden, was bedeutet, dass missbräuchlicher Erfolg über den Management-Knoten hinausgehen und das Verhalten der nachgelagerten Netzwerkinfrastruktur verändern kann.
CVE-2026-20245 Minderung
Es gab keinen Patch und keine Umgehungslösung bei der Offenlegung, daher konzentriert sich die Minderung von CVE-2026-20245 auf die Härtung, Beweissicherung und Kompromissüberprüfung. Die Anleitung von Cisco, wie von Help Net Security zitiert, besteht darin, Admin-Tech-Daten von jeder Steuerungskomponente zu sammeln, bevor Upgrade-Aktivitäten durchgeführt werden, dann so schnell wie möglich Upgrades durchzuführen und die Konfiguration von Edge-Geräten zu überprüfen. Dieser Rat ist wichtig, weil Software-Updates allein möglicherweise nicht die Situation vollständig lösen, wenn das System bereits kompromittiert wurde.
Cisco hat auch CVE-2026-20245 IOCs in Form spezifischer Protokollinformationen veröffentlicht. Help Net Security sagt, dass Kunden diese Protokolle überprüfen sollten und im Falle einer bestätigten Kompromittierung direkt mit dem Cisco TAC für gezielte Behebungsmaßnahmen arbeiten sollten. SecurityWeek bemerkt ebenso, dass Cisco Indikatoren verfügbar gemacht hat, während es an einer zukünftigen Catalyst SD-WAN Manager Version mit der Behebung arbeitet.
Für Verteidiger, die versuchen CVE-2026-20245 zu erkennen, ist der praktischste Ansatz, SD-WAN Manager Appliances auf Anzeichen unautorisierter Aktivität auf Root-Level, verdächtiger Datei-Uploads und unerwarteter Konfigurationsübertragungen an Edge-Geräte zu überprüfen. Da Cisco den vorausgesetzten Zugang explizit mit kompromittierten Zugangsdaten oder früheren SD-WAN-Fehlern verbunden hat, sollten Organisationen auch validieren, dass zuvor offengelegte Authentifizierungs- und Privilegieneskalationsschwachstellen über das gesamte Unternehmen hinweg vollständig behoben sind.
Im weiteren Sinne sollte die Erkennung von CVE-2026-20245 als Vorfallreaktion und nicht als routinemäßiges Patch-Management behandelt werden. Wenn Protokolle auf Missbrauch hinweisen, warnt Cisco, dass die einfache Installation der zukünftigen Softwarebehebung allein die Umgebung nicht sichern wird, und die Kunden sollten TAC für Erholungshilfe einbeziehen, die auf die bestätigte Kompromittierung zugeschnitten ist.
FAQ
Was ist CVE-2026-20245 und wie funktioniert es?
Es handelt sich um eine Befehlsinjektions-Schwachstelle in der CLI des Cisco Catalyst SD-WAN Managers. Cisco sagt, dass ein Angreifer mit Netadmin-Rechten eine manipulierte Datei auf ein betroffenes System hochladen und beliebige Befehle als Root ausführen kann.
Wann wurde CVE-2026-20245 erstmals entdeckt?
Das private Entdeckungsdatum wurde in den zitierten Berichten nicht öffentlich bekanntgegeben. Öffentlich bekannt ist, dass Cisco den Fehler am 5. Juni 2026 offengelegt hat, PSIRT im Juni von der Ausnutzung erfahren hat und Mandiant die Schwachstelle gemeldet hat.
Welche Auswirkungen hat CVE-2026-20245 auf Systeme?
Erfolgreiche Ausnutzung kann beliebige Befehle als Root auf Cisco Catalyst SD-WAN Manager ausführen lassen. Cisco sagte auch, dass in einigen Fällen die Ausnutzung dazu führte, dass Konfigurationsänderungen an Edge-Geräte übertragen wurden, wodurch das Potenzial für eine größere Netzwerkauswirkung besteht.
Kann CVE-2026-20245 mich 2026 noch betreffen?
Ja. Jede betroffene Cisco Catalyst SD-WAN Manager Bereitstellung kann 2026 weiterhin exponiert sein, wenn sie ungepatcht bleibt und ein Angreifer die erforderlichen Netadmin-Rechte erlangen kann, sei es durch gestohlene Zugangsdaten oder verkettete SD-WAN-Schwachstellen. Bei der Offenlegung hatte Cisco noch keinen Fix veröffentlicht.
Wie kann ich mich vor CVE-2026-20245 schützen?
Sichern Sie Beweise mit dem Admin-Tech Sammelprozess, überprüfen Sie die von Cisco veröffentlichten Protokoll-Indikatoren, überprüfen Sie die Konfigurationen von Edge-Geräten, beheben Sie alle verbundenen SD-WAN-Zugangsfehler und wenden Sie die zukünftige Fix-Version von Cisco an, sobald sie verfügbar ist. Wenn eine Kompromittierung bestätigt wird, rät Cisco zur Zusammenarbeit mit TAC, da das Patchen allein das System möglicherweise nicht vollständig behebt.
