Die Schwachstelle betrifft die genannten Bereitstellungsvarianten unabhängig von der jeweiligen Gerätekonfiguration. Cisco hat sie in entsprechenden Versionen von Catalyst SD-WAN behoben und warnt, dass insbesondere Controller-Systeme mit ins Internet exponierten Ports gefährdet sind.
Nach Darstellung des ASD-ACSC kompromittiert die Gruppe UAT-8616 Cisco-SD-WAN-Systeme bereits seit 2023 über den Zero-Day-Exploit und verschafft sich damit erweiterten Zugriff. Die Lücke habe es einem Angreifer erlaubt, einen betrügerischen Peer zu erzeugen, der sich in die Management- beziehungsweise Control-Plane eines SD-WAN einklinkt. Dieses unautorisierte Gerät erscheine als neue, vom Angreifer kontrollierte, vorübergehende SD-WAN-Komponente, die vertrauenswürdige Aktionen innerhalb der Management- und Control-Plane ausführen könne.
Nach der Kompromittierung einer öffentlich erreichbaren Anwendung nutzten die Angreifer den eingebauten Update-Mechanismus, um ein Software-Downgrade einzuleiten. Über CVE-2022-20775 (CVSS 7.8), eine Schwachstelle zur Rechteausweitung in der Kommandozeile der Cisco-SD-WAN-Software, eskalierten sie anschließend zum Root-Benutzer und stellten danach die ursprünglich laufende Software-Version wieder her.
Laut Talos zeigt der Versuch von UAT-8616 einen anhaltenden Trend, bei dem Bedrohungsakteure Geräte am Netzwerkrand ins Visier nehmen, um sich dauerhaft in hochwertigen Organisationen einzunisten – einschließlich der Sektoren kritischer Infrastruktur.
Zur Erkennung empfiehlt Cisco, die Datei “/var/log/auth.log” auf Einträge zu “Accepted publickey for vmanage-admin” von unbekannten oder unautorisierten IP-Adressen zu prüfen. Zusätzlich sollten die in der Protokolldatei enthaltenen IP-Adressen mit den konfigurierten System-IPs abgeglichen werden, die in der Weboberfläche des Catalyst SD-WAN Manager aufgeführt sind (WebUI > Devices > System IP).
Die US-Behörde CISA hat sowohl CVE-2022-20775 als auch CVE-2026-20127 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und verpflichtet die zivilen US-Bundesbehörden, die Korrekturen innerhalb von 24 Stunden einzuspielen. Zur Prüfung auf Downgrade- und unerwartete Neustart-Ereignisse rät CISA, die entsprechenden Protokolle auszuwerten.
Darüber hinaus hat CISA die Notfall-Direktive 26-03 “Mitigate Vulnerabilities in Cisco SD-WAN Systems” erlassen. Bundesbehörden müssen ihre SD-WAN-Geräte inventarisieren, Updates anwenden und eine mögliche Kompromittierung bewerten. Einen Katalog aller betroffenen SD-WAN-Systeme sollen sie bis zum 26. Februar 2026 vorlegen, ein detailliertes Inventar samt ergriffener Maßnahmen bis zum 5. März 2026 und eine Liste aller Härtungsschritte bis zum 26. März 2026.
