**Cisco** warnt, dass eine kritische Schwachstelle zur Umgehung der Authentifizierung im Catalyst SD-WAN Controller, verfolgt als **CVE-2026-20182**, aktiv in Zero-Day-Angriffen ausgenutzt wurde, die es Angreifern ermöglichten, administrative Berechtigungen auf kompromittierten Geräten zu erlangen. **CVE-2026-20182** hat eine maximale Schwere von 10,0 und betrifft **Cisco Catalyst SD-WAN Controller** und **Cisco Catalyst SD-WAN Manager** in On-Premise- und SD-WAN-Cloud-Bereitstellungen. ### Details zur Schwachstelle In einem heute veröffentlichten Advisory erklärte **Cisco**, dass das Problem auf einen Peer-Authentifizierungsmechanismus zurückzuführen ist, der "nicht ordnungsgemäß funktioniert". "Diese Schwachstelle existiert, weil der Peer-Authentifizierungsmechanismus in einem betroffenen System nicht ordnungsgemäß funktioniert. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er manipulierte Anfragen an das betroffene System sendet", heißt es im [Cisco CVE-2026-20182 Advisory](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW). "Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, sich als interner, hochprivilegierter, nicht-root-Benutzeraccount auf einem betroffenen **Cisco Catalyst SD-WAN Controller** anzumelden. Mit diesem Account könnte der Angreifer auf NETCONF zugreifen, was es dem Angreifer dann ermöglichen würde, die Netzwerkkonfiguration für das SD-WAN-Fabric zu manipulieren." **Cisco Catalyst SD-WAN** ist eine softwarebasierte Netzwerkplattform, die Zweigstellen, Rechenzentren und Cloud-Umgebungen über ein zentral verwaltetes System verbindet. Sie verwendet einen Controller, um den Datenverkehr zwischen Standorten über verschlüsselte Verbindungen sicher zu leiten. ### Aktive Ausnutzung Das Unternehmen gibt an, dass es Bedrohungsakteure im Mai bei der Ausnutzung der Schwachstelle entdeckt hat, teilte jedoch keine Details darüber mit, wie sie ausgenutzt wurde. Gemeinsam bereitgestellte Indikatoren für eine Kompromittierung (IOCs) warnen Administratoren jedoch davor, nach unautorisierten Peer-Ereignissen in den SD-WAN Controller-Protokollen zu suchen, die auf Versuche hindeuten könnten, bösartige Geräte innerhalb des SD-WAN-Fabric zu registrieren. Durch das Hinzufügen eines bösartigen Peers könnte ein Angreifer ein bösartiges Gerät in die SD-WAN-Umgebung einschleusen, das legitim erscheint. Dieses Gerät könnte dann verschlüsselte Verbindungen aufbauen und Netzwerke unter der Kontrolle des Angreifers bewerben, was ihm potenziell ermöglicht, tiefer in das Netzwerk einer Organisation einzudringen. ### Entdeckung und Bezug zu früheren Schwachstellen Die Schwachstelle wurde von **Rapid7** [entdeckt](https://www.rapid7.com/blog/post/ve-cve-2026-20182-critical-authentication-bypass-cisco-catalyst-sd-wan-controller-fixed/), während sie eine andere **Cisco SD-WAN** Controller-Schwachstelle untersuchten, die als [**CVE-2026-20127**](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk) verfolgt wurde und im Februar behoben wurde. **CVE-2026-20127** wurde [ebenfalls in Zero-Day-Angriffen](https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/) von einem Bedrohungsakteur namens "UAT-8616" seit 2023 ausgenutzt, um bösartige Peers in Organisationen zu erstellen. ### Abmilderung und Behebung **Cisco** hat Sicherheitsupdates zur Behebung der Schwachstelle veröffentlicht und erklärt, dass es keine Workarounds gibt, die das Problem vollständig abmildern. Das Unternehmen empfiehlt außerdem, den Zugriff auf die Management- und Control-Plane-Schnittstellen von SD-WAN auf vertrauenswürdige interne Netzwerke oder nur auf autorisierte IP-Adressen zu beschränken und die Authentifizierungsprotokolle auf verdächtige Anmeldeaktivitäten zu überprüfen. **CISA** hat die **Cisco CVE-2026-20182** Schwachstelle zum [Katalog bekannter ausgenutzter Schwachstellen](https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalog) hinzugefügt und Bundesbehörden angewiesen, betroffene Geräte bis zum 17. Mai 2026 zu patchen. ### Indikatoren für eine Kompromittierung **Cisco** fordert Organisationen dringend auf, die Protokolle von internetzugänglichen Catalyst SD-WAN Controller-Systemen auf Ereignisse zu überprüfen, die auf unautorisierten Zugriff oder Peer-Ereignisse hindeuten könnten. Das Unternehmen gibt an, dass Administratoren */var/log/auth.log* auf Einträge überprüfen sollten, die "Accepted publickey for vmanage-admin" von unbekannten IP-Adressen anzeigen: 2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY] Administratoren sollten die IP-Adressen in den Protokollen mit den konfigurierten System-IPs vergleichen, die in der **Cisco Catalyst SD-WAN Manager** Web-UI unter **WebUI** > **Devices** > **System IP** aufgeführt sind. Wenn eine unbekannte IP-Adresse erfolgreich authentifiziert wurde, sollten Administratoren das Gerät als kompromittiert betrachten und einen **Cisco TAC** Fall eröffnen. **Cisco** empfiehlt außerdem, die SD-WAN Controller-Protokolle auf unautorisierte Peer-Aktivitäten zu überprüfen, da Angreifer versuchen könnten, bösartige Geräte innerhalb des SD-WAN-Fabric zu registrieren. Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005 **Cisco** empfiehlt dringend ein Upgrade auf eine behobene Softwareversion, da dies der einzige Weg ist, **CVE-2026-20182** vollständig zu beheben.  ## Die Validierungslücke: Automatisiertes Pentesting beantwortet eine Frage. Sie brauchen sechs. Automatisierte Pentesting-Tools liefern einen echten Mehrwert, aber sie wurden entwickelt, um eine Frage zu beantworten: Kann ein Angreifer sich im Netzwerk bewegen? Sie wurden nicht entwickelt, um zu testen, ob Ihre Kontrollen Bedrohungen blockieren, Ihre Erkennungsregeln ausgelöst werden oder Ihre Cloud-Konfigurationen standhalten. Diese Anleitung behandelt die 6 Oberflächen, die Sie tatsächlich validieren müssen. [Jetzt herunterladen](https://hubs.li/Q048zztN0)