Admins, die Cisco Catalyst SD-WAN Manager oder cPanel mit LiteSpeed-Plug-in verwalten, sollten aufgrund von laufenden Angriffen umgehend die verfügbaren Sicherheitsupdates installieren. Im schlimmsten Fall können Angreifer als root-Nutzer auf Systeme zugreifen. Damit das klappt, müssen sie aber zuerst einige Hürden überwinden.
Vor den Attacken warnt neben den Softwareanbietern auch die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) auf ihrer Website. Sie stufen das Risiko der Angriffe als erhebliches Risiko für die Bundesbehörden ein. In welchem Umfang die Attacken ablaufen, ist zurzeit nicht bekannt.
Die Gefahren
Aus einer Warnmeldung von Cisco geht hervor, dass die ausgenutzte Sicherheitslücke (CVE-2026-20262 „mittel“) im Web-UI von Catalyst SD-WAN Manager steckt. Weil beim Uploadprozess Nutzereingaben nicht ausreichend geprüft werden, setzen Angreifer dort mit präparierten HTTP-Anfragen an. Darüber überschreiben sie Systemdateien und können sich so Cisco zufolge root-Rechte verschaffen. In so einem Zustand gelten Systeme in der Regel als vollständig kompromittiert. Die Entwickler geben an, dass Catalyst SD-WAN Manager in allen Konfigurationen angreifbar ist.
