Moderne Netzwerke sind zunehmend von zentralisierten Plattformen abhängig, um Hunderte oder Tausende von Geräten zu verwalten; diese Bequemlichkeit macht Management Panels jedoch hochwertige Ziele. Cisco Catalyst SD-WAN Manager - die Managementlösung, die in einem Board die Kontrolle von Hunderten oder Tausenden von SD-WAN-Elementen zusammenbringt - ist wieder im Zentrum der Nachrichten, weil Cisco selbst bestätigt, dass zwei zusätzliche Sicherheitsausfälle in realen Umgebungen ausgenutzt werden, und hat Administratoren aufgefordert, ihre Ausrüstung so schnell wie möglich zu aktualisieren.
Die gemeldeten Probleme sind nicht theoretisch: es gibt aktive Ausbeutung in der Natur Laut dem aktuellen Update des Unternehmens. Cisco erweiterte die Warnung, die er im Februar gestartet hatte und stellte fest, dass die Schwachstellen, die als CVE-2026-20122 und CVE-2026-20128 identifiziert wurden, von Angreifern genutzt wurden. Die offizielle Note ist im Cisco Security Centre auf diesem Link verfügbar: Cisco Security Advisory.
Um die Schwerkraft zu verstehen, ist es angebracht, auf Zugriffsvektoren zu setzen: Die als CVE-2026-20122 gelistete Schwachstelle erlaubt eine willkürliche Überschrift von Dateien und, obwohl ihre Remote-Operation nur Leseinformationen mit Zugriff auf die API erfordert, dies macht es nicht harmlos; durch die Manipulation von kritischen Dateien kann ein Angreifer Konfigurationen ändern, hinter Türen pflanzen oder weitere Schritte auf Waagerechte vorbereiten. Die technische Beschreibung dieses Ausfalls ist im NVD verfügbar: CVE-2026-20122 (NVD).
Die andere aktive Schwachstelle, CVE-2026-20128, ist weniger streng nach Klassifizierung, aber ebenso beunruhigend, weil es die Filtration von sensiblen Informationen ermöglicht, wenn ein lokaler Angreifer gültige Anmeldeinformationen in vManage hat. Details können im NIST-Verwundbarkeitsregister überprüft werden: CVE-2026-20128 (NVD). Cisco weist darauf hin, dass beide Fehler die Software des Catalyst SD-WAN Managers beeinflussen, unabhängig davon, wie die Geräte konfiguriert sind, die die Risikooberfläche verlängert.
Diese Mitteilung kommt in Zusammenhang: vor kurzem die Ausbeutung von mindestens 2023 einer kritischen Schwachstelle in der gleichen Management-Suite, identifiziert als CVE-2026-20127, die es anspruchsvollen Angreifern erlaubt, "rogue" Paare (false peers) zu kompromittierten SD-WAN-Netzwerken hinzuzufügen und so schädliche Geräte, die legitim scheinen. Informationen zu dieser Verletzung finden Sie auch in den öffentlichen Datenbanken: CVE-2026-20127 (NVD).
Die Sensibilität des Problems führte zu Reaktionen der Behörden. In den Vereinigten Staaten startete die Infrastruktur- und Cybersicherheitsagentur (CISA) die Notfallrichtlinie ED 26-03, die Bundesagenturen dazu zwingt, Cisco SD-WAN-Geräte zu erfinden, forensische Geräte zu bewahren, ausgelagerte Daten aufzuzeichnen, Patches einzusetzen und mögliche Vorfälle im Zusammenhang mit diesen Sicherheitslücken zu überprüfen. Der vollständige Wortlaut der Richtlinie ist hier verfügbar: CISA ED 26-03.
Gleichzeitig hat Cisco Updates für andere empfindliche Produkte veröffentlicht, wie zum Beispiel sein Secure Firewall Management Center, wo Fehler behoben wurden, die es erlauben könnten, Authentisierungen zu vermeiden, Remote-Code mit Root-Privilegien zu betreiben (CVE-2026-20079 und CVE-2026-20131); die Referenzen im Sicherheitskatalog erlauben die technische Spur dieser Probleme zu folgen: CVE-2026-20079 (NVD) und CVE-2026-20131 (NVD).
Was sollte ein Administrator jetzt tun? Der erste Schritt ist die Anwendung der korrigierten Versionen der Software, die Cisco zur Verfügung gestellt hat: das Unternehmen besteht darauf, dass die Aktualisierung die zuverlässigste Art ist, diese Angriffsvektoren zu entfernen. Darüber hinaus ist es ratsam, den Zugriff auf Management-APIs zu beschränken, zu überprüfen und zu drehen Berechtigungen mit Priorität, und segmentieren Sie das Netzwerk, um den Managementplan von dem anderen Produktionsverkehr zu trennen, so dass eine Pause in der Benutzerumgebung keinen direkten Sprung auf den zentralen Controller erlaubt.
Es reicht nicht aus, Patches zu installieren: Es ist angebracht, die mögliche vorherige Aktivität zu untersuchen. Cisco und die Agenturen haben empfohlen, Aufzeichnungen zu sammeln und zu halten, auf der Suche nach Anzeichen für unberechtigte Peer-Erstellung, unerwartete Änderungen in Vorlagen oder Richtlinien, neue Zertifikate ohne Kontrolle und ungewöhnlichen ausgehenden Verkehr zu unbekannten Zielen. Diese forensische Arbeit ist der Schlüssel, um ein präventives Update von einer Antwort auf eine bereits verbrauchte Intrusion zu unterscheiden. Cisco bietet Anleitungen und technische Details in seinem Sicherheitshinweis: Cisco Security Advisory, und die CISA-Richtlinie erklärt Mindestbetriebsschritte für Bundesumwelten: CISA ED 26-03.
Die Lehre, die in dieser Episode hinterlassen wird, ist klar: die Stücke, die die Kontrolle auf kritische Infrastruktur Konzentratrisiko zentralisieren. Ein Ausfall im Manager beeinträchtigt nicht nur ein isoliertes Gerät, sondern öffnet möglicherweise die Tür zum gesamten Netzwerk, das davon abhängt. Daher ist die Kombination zeitnaher Updates mit guter Sicherheitshygiene - Zutrittskontrolle, externe Aufzeichnungen, Segmentierung und kontinuierliche Überwachung - die einzige Möglichkeit, die Auswirkungen solcher Fehler zu reduzieren.
Wenn Sie den Catalyst SD-WAN Manager verwalten, planen Sie ein Wartungsfenster, um die Patches anzuwenden und eine umfassende Überprüfung Ihrer Umgebung zu starten. Es übernimmt die amtliche Dokumentation von Cisco und die Empfehlungen von Behörden wie CISA, so dass die Intervention abgeschlossen ist und nicht lose Enden verlässt. Nützliche Links zum Starten mit: Ciscos eigener Note ( Beratung), die NVD-Einträge auf den oben genannten EQs ( CVE-2026-20122, CVE-2026-20128, CVE-2026-20127) und der CISA-Richtlinie ( ED 26-03)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...