Warning February 2026

warning@lists.cert.at

1 participants
1 discussions

Kritische Sicherheitslücken in Cisco Catalyst SD-WAN - aktiv ausgenutzt - Updates verfügbar
by Michael Schlagenhaufer 26 Feb '26

26 Feb '26

26. Februar 2026 Beschreibung In Cisco Catalyst SD-WAN existieren mehrere kritische Sicherheitslücken. Die schwerwiegendste Schwachstelle (CVE-2026-20127) ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, die Authentifizierung zu umgehen und administrative Berechtigungen auf einem betroffenen System zu erlangen. Weitere Schwachstellen betreffen den Cisco Catalyst SD-WAN Manager und ermöglichen unter anderem Authentication Bypass, Privilege Escalation, Information Disclosure und das Überschreiben beliebiger Dateien. Die Schwachstelle CVE-2026-20127 wird aktiv ausgenutzt. Laut mehrerer internationaler Cybersicherheitsbehörden (ASD ACSC, CISA, NCSC-UK, CCCS, NCSC-NZ) wurden Cisco Catalyst SD-WANs mindestens seit 2023 kompromittiert. CVE-Nummer(n): CVE-2026-20127, CVE-2026-20129, CVE-2026-20126, CVE-2026-20133, CVE-2026-20122, CVE-2026-20128 CVSS Base Score: bis zu 10.0 Auswirkungen Durch Ausnutzen der Schwachstellen können Angreifer aus der Ferne und ohne Authentifizierung die Peering-Authentifizierung umgehen und sich als vertrauenswürdiger Peer in die SD-WAN Management- und Control-Plane einbringen (CVE-2026-20127, CVSS 10.0). Ebenso kann über die API des SD-WAN Managers ohne Authentifizierung Zugriff mit administrativen Rechten erlangt werden (CVE-2026-20129, CVSS 9.8). Weitere Schwachstellen ermöglichen die Ausweitung von Berechtigungen auf Root-Ebene (CVE-2026-20126, CVSS 7.8), das Auslesen sensibler Informationen (CVE-2026-20133, CVSS 7.5 und CVE-2026-20128, CVSS 5.5) sowie das Überschreiben beliebiger Dateien (CVE-2026-20122, CVSS 7.1). Betroffene Systeme * Cisco Catalyst SD-WAN Controller (ehemals SD-WAN vSmart) – betroffen von CVE-2026-20127 * Cisco Catalyst SD-WAN Manager (ehemals SD-WAN vManage) – betroffen von allen genannten CVEs * Betroffene Versionen: alle vor den unten genannten aktuellsten Versionen, im Detail: + Älter als 20.9: Migration auf eine unterstützte Version erforderlich + 20.9: behoben in 20.9.8.2 + 20.11: behoben in 20.12.6.1 + 20.12.5: behoben in 20.12.5.3 + 20.12.6: behoben in 20.12.6.1 + 20.13: behoben in 20.15.4.2 + 20.14: behoben in 20.15.4.2 + 20.15: behoben in 20.15.4.2 + 20.16: behoben in 20.18.2.1 + 20.18: behoben in 20.18.2.1 * Hinweis: Cisco Catalyst SD-WAN Manager ab Version 20.18 ist von CVE-2026-20128 und CVE-2026-20129 nicht betroffen. Abhilfe Cisco stellt Sicherheitsaktualisierungen bereit. Ein Update auf die oben genannten Versionen wird dringend empfohlen. Es stehen keine Workarounds zur Verfügung, die die Schwachstellen vollständig beheben. Als temporäre Maßnahme empfiehlt Cisco den Zugriff auf Port 22 und Port 830 mittels ACLs oder Firewall-Regeln auf bekannte Controller-IPs einzuschränken. Management-Interfaces dürfen nicht aus dem Internet erreichbar sein. Aufgrund der nachgewiesenen aktiven Ausnutzung seit mindestens 2023 wird empfohlen, bestehende Installationen anhand des veröffentlichten Threat Hunt Guide auf Anzeichen einer Kompromittierung zu untersuchen. Im Falle einer festgestellten Kompromittierung sollten betroffene Instanzen (vManage, vSmart, vBond) aus gepatchten Images neu aufgesetzt werden. Hinweis Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. __________________________________________________________________ Informationsquelle(n): Cisco Security Advisory – Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability (Englisch) https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso… Cisco Security Advisory – Cisco Catalyst SD-WAN Vulnerabilities (Englisch) https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdviso… CISA Emergency Directive ED 26-03: Mitigate Vulnerabilities in Cisco SD-WAN Systems (Englisch) https://www.cisa.gov/news-events/directives/ed-26-03-mitigate-vulnerabiliti… NCSC-UK – Exploitation of Cisco Catalyst SD-WAN (Englisch) https://www.ncsc.gov.uk/news/exploitation-cisco-catalyst-sd-wans ASD ACSC-led Cisco SD-WAN Threat Hunt Guide (Englisch) https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-… Cisco Talos – Active exploitation of Cisco Catalyst SD-WAN by UAT-8616 (Englisch) https://blog.talosintelligence.com/uat-8616-sd-wan/ Mit freundlichen Grüßen, Michael Schlagenhaufer -- // Michael Schlagenhaufer <schlagenhaufer(a)cert.at> - T: +43 1 5056416 78 // CERT Austria - https://www.cert.at/ // CERT.at GmbH, FB-Nr. 561772k, HG Wien

1 0

2026

2025

Warning February 2026 ----- 2026 ----- June 2026 May 2026 April 2026 March 2026 February 2026 January 2026 ----- 2025 ----- December 2025 November 2025 October 2025 September 2025 August 2025 July 2025 June 2025 May 2025 April 2025 March 2025 February 2025 January 2025

Warning February 2026