Eine kritische Sicherheitslücke in Ciscos SD-WAN-Produkten wird seit 2023 aktiv ausgenutzt. Die Schwachstelle CVE-2026-20127 ermöglicht unauthentifizierten Angreifern, sich Admin-Rechte zu verschaffen.
Eine kritische Sicherheitslücke in Cisco Catalyst SD-WAN Controller und Catalyst SD-WAN Manager wird bereits seit 2023 aktiv ausgenutzt. Das Unternehmen hat nun bestätigt, dass es sich um eine Schwachstelle mit maximaler Schweregrad handelt.
Die als CVE-2026-20127 katalogisierte Lücke weist einen CVSS-Score von 10.0 auf und ermöglicht es unauthentifizierten Remote-Angreifern, die Authentifizierung zu umgehen und Administratorrechte zu erlangen. Ein Angreifer muss lediglich eine speziell präparierte Anfrage an das System senden, um sich unautorisierten Zugriff zu verschaffen.
Bei erfolgreicher Ausnutzung können Angreifer mit erhöhten Rechten in das System eindringen und sich als interner, privilegierter Benutzer anmelden – allerdings nicht mit Root-Rechten. “Die Sicherheitslücke entsteht durch einen fehlerhaften Peering-Authentifizierungsmechanismus”, erklärt Cisco. Mit diesen Zugriffsrechten könnten Angreifer auf NETCONF zugreifen und Netzwerkkonfigurationen der SD-WAN-Infrastruktur manipulieren.
Das australische Cyber Security Centre (ASD-ACSC) hat die Sicherheitslücke gemeldet. Cisco verfolgt die Ausbeutung unter der Bezeichnung UAT-8616 und charakterisiert die dahintersteckende Gruppe als “hochgradig sophistizierte Cyber-Bedrohung”.
Cisco warnt ausdrücklich, dass SD-WAN-Systeme, die im Internet exponiert sind, einem erheblichen Kompromittierungsrisiko ausgesetzt sind. Das Unternehmen empfiehlt Kunden, die Log-Datei “/var/log/auth.log” auf Einträge mit “Accepted publickey for vmanage-admin” aus unbekannten oder nicht autorisierten IP-Adressen zu überprüfen. Diese Adressen sollten mit den konfigurierten System-IPs in der SD-WAN Manager Web-Oberfläche abgeglichen werden.
Nach Informationen des ASD-ACSC nutzt UAT-8616 die Zero-Day-Lücke seit 2023, um erhöhte Zugriffsprivilegien zu erlangen. Durch die Schwachstelle können Angreifer ein rogue peer-Gerät im Management- oder Control-Plane des SD-WAN einschleusen. Dieses manipulierte Gerät tritt als vorübergehendes, vom Angreifer kontrolliertes SD-WAN-Komponenten auf und kann vertrauenswürdige Aktionen im Management- und Control-Plane ausführen.
Nach erfolgreicher Kompromittierung einer öffentlich erreichbaren Anwendung nutzen die Angreifer den integrierten Update-Mechanismus, um einen Downgrade der Software-Version durchzuführen. Dies ermöglicht die Ausnutzung von CVE-2022-20775 – einer weiteren Hochrisiko-Lücke mit CVSS-Score 7.8 in der CLI von Cisco SD-WAN Software – zur Root-Eskalation. Danach wird die Software auf die ursprüngliche Version zurückgesetzt.
Ciscos Sicherheitsteam Talos sieht in UAT-8616 einen Teil eines wachsenden Trends: “Cyber-Bedrohungsakteure zielen gezielt auf Network-Edge-Geräte ab, um persistente Fußfassungen in wertvollen Organisationen – einschließlich kritischer Infrastruktur – zu etablieren.”
Die Sicherheitsagentur CISA hat beide Schwachstellen in ihren Katalog bekannter Exploited Vulnerabilities aufgenommen und fordert Federal Civilian Executive Branch-Agenturen auf, Patches innerhalb von 24 Stunden einzuspielen.
Per Emergency Directive 26-03 sind Bundesagenturen verpflichtet, ihre SD-WAN-Geräte zu inventarisieren, Updates einzuspielen und potenzielle Kompromittierungen zu bewerten. Es gelten folgende Fristen: Alle SD-WAN-Systeme müssen bis zum 26. Februar 2026 erfasst sein, detaillierte Bestände und durchgeführte Maßnahmen bis zum 5. März 2026, und eine Zusammenfassung aller Härtungsmaßnahmen bis zum 26. März 2026.
Quelle: The Hacker News