• Beratung anfragen
  • Newsletter
  • Deutsch Deutsch Deutsch de
  • English English Englisch en
  • Italiano Italiano Italienisch it
  • Nederlands Nederlands Niederländisch nl
Greenbone
  • Produkte
    • OPENVAS BASIC
      • OPENVAS BASIC: Bestellung
    • OPENVAS SCAN
    • Upcoming Solutions
      • OPENVAS SECURITY INTELLIGENCE
      • OPENVAS AI
    • Lösungen für Ihre Branche
      • Bildungssektor
      • Gesundheitssektor
      • Öffentlicher Sektor
    • Technologie
      • Feedvergleich
      • Produktvergleich
        • OPENVAS vs. Nessus
      • Roadmap & Lifecycle
  • Service & Support
    • Technischer Support
    • Selflearning-Kurse
    • Dokumente
  • Events
    • Cybersec Europe 2026
    • Webinare
  • Partner
    • MSSP
  • Über Greenbone
    • Karriere
    • Kontakt
  • Blog
    • Know-how
      • Cyberangriffe und Verteidigung
      • Cyber Defense Security
      • Cyber Resilience Act
      • Datensicherheit
      • Digital Operational Resilience Act
      • IT- und Informationssicherheit
      • NIS2 Richtlinie
      • Open-Source-Vulnerability Management
      • Schwachstellenmanagement
      • Schwachstellen im Zeitverlauf
      • Zeitleiste Angriffsvektoren
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
  • Produkte
    • OPENVAS BASIC
      • OPENVAS BASIC: Bestellung
    • OPENVAS SCAN
    • Upcoming Solutions
      • OPENVAS SECURITY INTELLIGENCE
      • OPENVAS AI
    • Lösungen für Ihre Branche
      • Bildungssektor
      • Gesundheitssektor
      • Öffentlicher Sektor
    • Technologie
      • Feedvergleich
      • Produktvergleich
        • OPENVAS vs. Nessus
      • Roadmap & Lifecycle
    • IT-Schutz anfragen
  • Service & Support
    • Technischer Support
    • Selflearning-Kurse
    • Dokumente
  • Events
    • Cybersec Europe 2026
    • Webinare
  • Partner
    • MSSP
  • Über Greenbone
    • Karriere
    • Kontakt
    • Newsletter
  • Blog
    • Know-how
      • Cyberangriffe und Verteidigung
      • Cyber Defense Security
      • Cyber Resilience Act
      • Datensicherheit
      • Digital Operational Resilience Act
      • IT- und Informationssicherheit
      • NIS2 Richtlinie
      • Open-Source-Vulnerability Management
      • Schwachstellenmanagement
      • Schwachstellen im Zeitverlauf
      • Zeitleiste Angriffsvektoren
  • Deutsch
  • Englisch
  • Italienisch
  • Niederländisch
Joseph Lee

Cisco-Unternehmensgeräte: Weitere kritische Sicherheitslücken und aktive Ausnutzung im Juni 2026

Blog

Cisco-Produkte wurden in den letzten Monaten von schwerwiegenden, aktiv ausgenutzten Sicherheitslücken heimgesucht [1][2][3][4][5][6][7][8][9]. Zu den kürzlich ausgenutzten Schwachstellen im Catalyst SD-WAN Manager und Controller gehören CVE-2026-20133 (CVSS 7.5, EPSS >= 95. Perzentil), CVE-2026-20128 (CVSS 7,8, EPSS >= 90. Perzentil), CVE-2026-20122 (CVSS 5.4, EPSS >= 93. Perzentil), CVE-2026-20127 (CVSS 10, EPSS 99. Perzentil) sowie CVE-2026-20182 (CVSS 10, EPSS >= 99. Perzentil). Insgesamt sind in diesem Jahr elf Cisco-Sicherheitslücken in den Katalog „Known Exploited Vulnerabilities“ (KEV) der CISA aufgenommen worden.

SD-WAN-Plattformen sind für Cyberangreifer attraktiv, da sie Routing, die Durchsetzung von Richtlinien, Netzwerktransparenz und administrative Kontrolle in Unternehmens-IT-Umgebungen zentralisieren. Die wiederholte Ausnutzung von SD-WAN-Schwachstellen deutet darauf hin, dass Angreifer vorrangig Ziele in der Netzwerkinfrastruktur ins Visier nehmen, die die Manipulation des Datenverkehrs [T1565.002], die laterale Bewegung [TA0008], Persistenz [TA0003] sowie weitreichendere operative Auswirkungen einschließlich Ransomware-Angriffen ermöglichen.

Der OPENVAS ENTERPRISE FEED von Greenbone bietet Erkennung für alle in diesem Blogbeitrag behandelten CVEs und enthält eine eigene Familie zur Erkennung von Cisco-Sicherheitslücken. Hier sind die wichtigsten neuen Bedrohungen für Cisco-Produkte aus dem Juni 2026:

Weitere kritische Cisco-Sicherheitslücken und aktive Ausnutzung im Juni 2026

Weitere kritische Cisco-
Sicherheitslücken

CVE-2026-20245 und CVE-2026-20262: Neue Schwachstellen in Catalyst SD-WAN werden aktiv ausgenutzt

CVE-2026-20245: Authentifizierte Befehlsausführung mit Root-Rechten

CVE-2026-20245 (CVSS 7.8, EPSS >= 57. Perzentil), veröffentlicht am 4. Juni 2026, ermöglicht es einem authentifizierten lokalen Angreifer mit netadmin-Rechten, beliebige Befehle als Root auf dem Cisco Catalyst SD-WAN Controller, Manager und Validator auszuführen. Die Ursache ist eine unzureichende Validierung von Benutzereingaben in hochgeladenen Dateien [CWE-20]. Laut Mandiant nutzten Angreifer gestohlene Anmeldedaten in Verbindung mit CVE-2026-20245, um sich über einen bösartigen CSV-Upload Root-Zugriff zu verschaffen.

CVE-2026-20245 betrifft den Cisco Catalyst SD-WAN Controller, den Cisco Catalyst SD-WAN Manager und den Cisco Catalyst SD-WAN Validator in allen Bereitstellungsarten, einschließlich On-Premises, Cisco SD-WAN Cloud-Pro, Cisco-verwalteter SD-WAN-Cloud und Cisco SD-WAN for Government. Cisco hat Korrekturen in den Catalyst SD-WAN-Versionen 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1 und 26.1.1.2 veröffentlicht. Es gibt keine Workarounds, und Cisco empfiehlt, ein Upgrade auf eine behobene Version durchzuführen, nachdem die Protokolle gesichert und die Admin-Tech-Dateien zur Überprüfung des Kompromittierungsvorfalls gesammelt wurden.

CVE-2026-20262: Authentifizierte Dateierstellung mit Angriffskette für eine Kompromittierung auf Root-Ebene

CVE-2026-20262 (CVSS 6.5, EPSS >= 63. Perzentil), veröffentlicht am 15. Juni 2026, ermöglicht es einem authentifizierten Angreifer aus der Ferne mit geringen Berechtigungen und gültigem Schreibzugriff, Dateien auf Cisco Catalyst SD-WAN Manager-Systemen zu erstellen oder zu überschreiben. Die Schwachstelle wird durch eine unzureichende Einschränkung der Pfadnamen beim Hochladen von Dateien verursacht [CWE-22]. Cisco bestätigte im Juni 2026 begrenzte Ausnutzungsaktivitäten, und die CISA hat CVE-2026-20262 in seinen KEV-Katalog aufgenommen. Es gibt keine Hinweise auf einen öffentlich zugänglichen PoC-Exploit oder eine detaillierte technische Analyse durch Dritte.

Laut Cisco können Angreifer die erforderlichen Berechtigungen durch gültige Anmeldedaten oder die vorherige Ausnutzung von CVE-2026-20182 (CVSS 10) oder CVE-2026-20127 (CVSS 10) erlangen, und der offizielle Hinweis des Herstellers beschreibt vereinzelte Fälle, in denen durch die Ausnutzung des Schwachpunkts Konfigurationsänderungen auf Edge-Geräte übertragen wurden. Catalyst SD-WAN Manager-Systeme mit Internetanbindung sind einem höheren Risiko ausgesetzt, da durch den Missbrauch verdächtige WAR- oder JSP-Dateien hochgeladen, schädlicher Code eingesetzt und möglicherweise Folgeaktivitäten vorbereitet werden können, die zu einer Kompromittierung auf Root-Ebene führen.

Der Cisco Catalyst SD-WAN Manager war unabhängig von der Gerätekonfiguration in allen Bereitstellungen betroffen, darunter On-Premises-, Cisco SD-WAN Cloud-Pro-, Cisco SD-WAN Cloud- (Cisco Managed) und Cisco SD-WAN for Government- (FedRAMP) Umgebungen. Cisco hat das Problem in den Versionen 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1 und 26.1.1.2 behoben. Es gibt keine Workarounds für CVE-2026-20262, daher ist zur Behebung des Problems ein Upgrade auf eine behobene Version erforderlich. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Prüfung zur Identifizierung von Geräten, die von CVE-2026-20262 betroffen sind.

CVE-2026-20230: Unified Communications Manager wird aktiv über nicht authentifizierte HTTP-Anfragen ausgenutzt

CVE-2026-20230 (CVSS 8.6, EPSS 42. Perzentil), veröffentlicht am 3. Juni 2026, ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, Cisco Unified Communications Manager und Unified CM Session Management Edition über eine serverseitige Request-Forgery-Sicherheitslücke im WebDialer [CWE-918] auszunutzen. Die Ursache ist eine unzureichende Eingabevalidierung von HTTP-Anfragen. Für die Ausnutzung muss WebDialer aktiviert sein, welcher standardmäßig deaktiviert ist. Erfolgreiche Angriffe können jedoch Dateien auf das zugrunde liegende Betriebssystem schreiben und eine spätere Rechteausweitung auf Root-Ebene ermöglichen.

Die CISA hat CVE-2026-20230 in ihre KEV-Liste aufgenommen, womit es sich um die zweite bekannte, aktiv ausgenutzte CVE in Cisco Unified Communications Manager im Jahr 2026 handelt. Berichten zufolge wird die Sicherheitslücke genutzt, um Web-Shells [T1505.003] zur Remote-Code-Ausführung (RCE) zu platzieren. Öffentlicher PoC-Exploit-Code und eine vollständige technische Beschreibung wurden von SSD Secure Disclosure veröffentlicht.

Cisco hat Korrekturen für Unified CM und Unified CM SME 14SU6 sowie 15SU5 oder COP1 veröffentlicht, weist darauf hin, dass es keine Workarounds gibt, und empfiehlt, WebDialer als vorübergehende Abhilfemaßnahme zu deaktivieren, bis die Installation der Patches abgeschlossen ist. Der OPENVAS ENTERPRISE FEED enthält eine Erkennung auf Paketebene für CVE-2026-20230.

Zwei kritische Sicherheitslücken in Cisco ISE – eine ermöglicht RCE auf Root-Ebene

CVE-2026-20181 (CVSS 9.1, EPSS 43. Perzentil) und CVE-2026-20190 (CVSS 7.5, EPSS 29. Perzentil), veröffentlicht am 17. Juni 2026, ermöglichen RCE, die Ausweitung von Berechtigungen, Denial-of-Service (DoS) und die Offenlegung von Informationen in der Cisco Identity Services Engine und dem Cisco ISE Passive Identity Connector. Es liegen keine Berichte über aktive Ausnutzung vor, und PoC-Exploit-Code oder detaillierte technische Analysen sind noch nicht verfügbar.

CVE-2026-20181 ermöglicht es einem authentifizierten Administrator, HTTP-Anfragen auszunutzen, um Zugriff auf das Betriebssystem auf Benutzerebene zu erlangen und die Berechtigungen auf Root-Ebene zu erweitern. CVE-2026-20190 ermöglicht es einem nicht authentifizierten Angreifer, auf sensible Informationen zuzugreifen, darunter gehashte Anmeldedaten, die Folgeangriffe ermöglichen könnten, sofern diese Anmeldedaten geknackt werden können. Beide Schwachstellen betreffen Cisco ISE und ISE-PIC unabhängig von der Gerätekonfiguration. In Umgebungen mit einem einzelnen Knoten kann CVE-2026-20181 dazu führen, dass der ISE-Knoten nicht mehr verfügbar ist, wodurch die Authentifizierung durch andere Endpunkte verhindert wird, bis der Knoten wiederhergestellt ist.

Cisco gibt an, dass es für keine der beiden Sicherheitslücken Workarounds gibt; betroffene Kunden sollten daher ein Upgrade durchführen oder gegebenenfalls den verfügbaren Hotpatch anwenden. Siehe den Sicherheitshinweis von Cisco für konkrete betroffene Versionen und Anweisungen zum Upgrade. Der OPENVAS ENTERPRISE FEED umfasst die Erkennung auf Paketebene sowohl für CVE-2026-20181 als auch für CVE-2026-20190 [1][2].

Zusammenfassung

Cisco sah sich im Juni 2026 inmitten einer anhaltenden Flut von Sicherheitsbedrohungen einer weiteren Welle von Sicherheitsrisiken für seine Unternehmensprodukte ausgesetzt. Zu den neu auftretenden Bedrohungen zählen neue, aktiv ausgenutzte Schwachstellen in Catalyst SD-WAN und Unified Communications Manager sowie kritische Cisco ISE-Schwachstellen. Die Probleme ermöglichen die Ausführung von Befehlen auf Root-Ebene, das Erstellen von Dateien, SSRF-Angriffe, die Offenlegung von Anmeldedaten und DoS-Angriffe sowie potenzielle Folgeangriffe, falls Anmeldedaten geknackt werden. Der OPENVAS ENTERPRISE FEED von Greenbone bietet Erkennung für alle in diesem Blogbeitrag behandelten CVEs und enthält eine spezielle Familie zur Erkennung von Cisco-Sicherheitslücken. Verteidiger können Greenbones Flaggschiff OPENVAS BASIC kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
Joseph Lee
Joseph Lee

Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.

Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.

Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.

LinkedIn

1. Juli 2026/von Joseph Lee
Eintrag teilen
  • Teilen auf LinkedIn
  • Per E-Mail teilen
https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png 0 0 Joseph Lee https://www.greenbone.net/wp-content/uploads/greenbone-logo-2025.png Joseph Lee2026-07-01 13:06:012026-07-01 13:06:01Cisco-Unternehmensgeräte: Weitere kritische Sicherheitslücken und aktive Ausnutzung im Juni 2026

Suche

Search Search

Archiv

  • 2026
  • 2025

Newsletter

Jetzt abonnieren

OPENVAS BASIC

Unser Einstiegsprodukt

14 Tage kostenlos testen

Produkte & Lösungen

  • OPENVAS PRODUKTE
  • OPENVAS SECURITY INTELLIGENCE
  • OPENVAS SCAN
  • OPENVAS BASIC
  • OPENVAS FREE
  • OPENVAS AI
ISO9001-DE

Service & Support

  • Technischer Support
  • FAQ
  • Dokumente
  • Gewährleistung
  • Open-Source-Vulnerability Management
  • Cyber Resilience Act
ISO27001-DE

Über uns

  • Über Greenbone
  • Partner
  • MSSP
  • Lizenzinformation
  • Datenschutzerklärung
  • AGB
ISO14001-DE

Kontakt mit uns

  • Kontakt
  • Pressekontakt
  • Karriere
  • Security Response
  • Impressum
  • Grounding Page

Community

  • Community Portal
  • Community Forum
© Copyright - Greenbone AG 2020-2026
  • Link zu LinkedIn
Link to: Die 5 Reifegrade im Schwachstellenmanagement Link to: Die 5 Reifegrade im Schwachstellenmanagement Die 5 Reifegrade im Schwachstellenmanagement
Nach oben scrollen Nach oben scrollen Nach oben scrollen
Kontakt
IT Schutz anfragen Kontakt aufnehmen Newsletter abonnieren Auf LinkedIn folgen