Datenschutz & Sicherheit
Cisco warnt vor neuer attackierter SD-WAN-Sicherheitslücke
Rund drei Wochen ist es erst her, dass Angreifer es auf eine Sicherheitslücke in Ciscos Catalyst SD-WAN-Controllern abgesehen hatten. Jetzt warnt Cisco erneut vor einer bislang unbekannten Sicherheitslücke in Catalyst SD-WAN Manager, die in freier Wildbahn missbraucht wird.
Weiterlesen nach der Anzeige
In einer aktuellen Sicherheitsmitteilung warnt Cisco, dass angemeldete lokale Angreifer beliebige Befehle als root ausführen können, indem sie eine sorgsam präparierte Datei an verwundbare Systeme übergeben (CVE-2026-20245, CVSS 7.8, Risiko „hoch“). Bösartige Akteure müssen dazu „netadmin“-Rechte im System haben, entweder durch gültige Zugangsdaten oder den Missbrauch weiterer Sicherheitslücken, etwa CVE-2026-20182 oder CVE-2026-20127. Ist das gegeben, können Angreifer die Systeme missbrauchen, um etwa Konfigurationsänderungen an Edge-Devices zu schicken, was Cisco in den Attacken beobachtet hat.
Cisco weist darauf hin, dass Kunden auf die geflickte Software aktualisieren sollen, die bereits Mitte Mai zu den eingangs erwähnten Angriffen veröffentlicht wurde. Für die nun gemeldete Sicherheitslücke verteilt Cisco noch keine weiteren Updates – die sollen in einem künftigen Release einfließen; temporäre Gegenmaßnahmen gibt es auch nicht. Vor einer Aktualisierung auf die Softwarestände von Mitte Mai sollen Admins sicherstellen, relevante Log-Dateien zu bewahren.
Betroffene Produkte
Es sind On-Premises-Installationen ebenso betroffen wie Ciscos SD-WAN Cloud-Pro, SD-WAN Cloud-Pro (verwaltet von Cisco) sowie SD-WAN for Government (FedRAMP). Nach der Aktualisierung sollen IT-Verantwortliche die Log-Dateien auf Indizien für erfolgreiche Angriffe (Indicators of Compromise, IOC) prüfen. Cisco schreibt, dass Admins die Datei „/var/log/scripts.log“ untersuchen sollen. Einträge der Art „Apr 15 09:44:57 vmanage vScript: Tenant list upload per vsmart serial number: /usr/bin/vconfd_script_upload_tenant_list.sh -cli path /home/admin/malicious.csv vpn 0“ sind dabei verdächtig. Allerdings unterscheiden die Logs nicht zwischen legitimen Befehlen und bösartigem Missbrauch, erörtert Cisco.
(dmk)