SecBoard
HochCVE WatchScore: 25/100

Cisco Catalyst SD-WAN (CVE-2026-20245): Zero-Day mit Root-Zugriff über Monate vor dem Patch ausgenutzt

28. Juni 2026
Cisco Catalyst SD-WAN (CVE-2026-20245): Zero-Day mit Root-Zugriff über Monate vor dem Patch ausgenutzt

Kurzfazit

Eine hochkritische Schwachstelle in Cisco Catalyst SD-WAN Manager (CVE-2026-20245, CVSS 7.8) wurde laut Mandiant mindestens zwei Monate vor ihrer Offenlegung als Zero-Day ausgenutzt — der 7. ausgenutzte Cisco-SD-WAN-Fehler in 2026. Angreifer erlangten Root-Rechte und legten betrügerische Root-Konten an. CISA hat die Lücke in den KEV-Katalog aufgenommen.

Was ist passiert?

Cisco hat vor einer hochkritischen Schwachstelle in Cisco Catalyst SD-WAN Manager gewarnt, die als CVE-2026-20245 ( 7.8) geführt wird. Laut Mandiant und übereinstimmender Berichterstattung wurde die Lücke mindestens zwei Monate vor ihrer öffentlichen Offenlegung als aktiv ausgenutzt. Sie erlaubt die Ausführung beliebiger Befehle als Root; Angreifer legten dabei betrügerische Root-Konten auf den Zielgeräten an. Zum Zeitpunkt der ersten Warnung lag noch kein Patch vor. CVE-2026-20245 ist laut SecurityWeek der siebte ausgenutzte Cisco-SD-WAN-Fehler im Jahr 2026; nahm die Schwachstelle (gemeinsam mit Cisco-, Chrome- und Arista-Lücken) in den KEV-Katalog auf.

Warum ist das relevant?

SD-WAN-Manager steuern zentral die Netzwerkverbindungen ganzer Standorte. Root-Zugriff und das Anlegen betrügerischer Root-Konten geben Angreifern persistente, weitreichende Kontrolle und die Möglichkeit, sich der Erkennung zu entziehen. Dass die Lücke über Monate unentdeckt ausgenutzt wurde, erhöht die Wahrscheinlichkeit bereits bestehender Kompromittierungen erheblich. Die Häufung von SD-WAN-Zero-Days bei Cisco in 2026 unterstreicht, dass diese Management-Ebene gezielt angegriffen wird.

Betroffene Branchen und Technologien

Betroffen ist die Technologie it-saas im Sinne zentraler Netzwerk-Management-Plattformen. Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor; relevant sind alle Organisationen, die Cisco Catalyst SD-WAN Manager einsetzen.

Priorisierungssignale

  • über ≥ 2 Monate vor Offenlegung ausgenutzt
  • Root-Zugriff + Anlegen betrügerischer Root-Konten
  • CISA-KEV — aktive Ausnutzung bestätigt
  • 7. ausgenutzter Cisco-SD-WAN-Fehler in 2026 (anhaltendes Targeting)

Defensive Empfehlungen

  • Cisco Catalyst SD-WAN Manager auf die inzwischen bereitgestellte gepatchte Version für CVE-2026-20245 aktualisieren.
  • Aufgrund der langen unentdeckten Ausnutzung betroffene Instanzen als potenziell kompromittiert behandeln und eine Compromise-Assessment durchführen.
  • Konten auf den SD-WAN-Managern auf unbekannte/betrügerische (Root-)Konten prüfen und bereinigen.
  • Management-Zugriff auf vertrauenswürdige Netze beschränken und Protokolle rückwirkend auf Anomalien prüfen.

Quellenhinweise

Grundlage sind die Analysen von Mandiant (via BleepingComputer) sowie Berichte von SecurityWeek und The Hacker News. Der CVSS-Wert (7.8) stammt aus den verknüpften Daten.

Was Security-Teams jetzt prüfen sollten

  • 1Cisco Catalyst SD-WAN Manager auf die gepatchte Version für CVE-2026-20245 aktualisieren.
  • 2Betroffene Instanzen wegen monatelanger unentdeckter Ausnutzung als potenziell kompromittiert behandeln (Compromise-Assessment).
  • 3Konten auf den SD-WAN-Managern auf unbekannte/betrügerische Root-Konten prüfen und entfernen.
  • 4Management-Zugriff auf vertrauenswürdige Netze beschränken.
  • 5Logs rückwirkend (mind. zwei Monate) auf Anomalien und Persistenz prüfen.

Betroffene Technologien

it-saas

Relevante CVEs

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 28. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#Cisco#Catalyst SD-WAN#CVE-2026-20245#Zero-Day#Root#KEV#Mandiant