Cisco-Schwachstelle legt Crosswork und NSO lahm – nur manueller Neustart hilft

Zusammenfassung

Cisco hat Sicherheitsupdates veröffentlicht, die eine Denial-of-Service-Schwachstelle in den Produkten Crosswork Network Controller (CNC) und Network Services Orchestrator (NSO) beheben. Die Besonderheit: Betroffene Systeme lassen sich nach einem erfolgreichen Angriff nur durch einen manuellen Neustart wiederherstellen. Die als CVE-2026-20188 geführte Lücke ist als hochgradig eingestuft und kann laut Cisco aus der Ferne und ohne Authentifizierung ausgenutzt werden – bei geringem Angriffsaufwand. Beide Produkte richten sich an große Unternehmen und Service-Provider: CNC dient der herstellerübergreifenden Netzwerkverwaltung mit Automatisierung, während die Orchestrierungsplattform NSO bei der Verwaltung von Netzwerkgeräten und -ressourcen unterstützt. Ursache der Schwachstelle ist eine unzureichende Begrenzung eingehender Netzwerkverbindungen. Angreifer können dadurch die verfügbaren Verbindungsressourcen erschöpfen und die Systeme in einen nicht mehr ansprechbaren Zustand versetzen. Cisco empfiehlt nachdrücklich, auf die in der Sicherheitsmeldung genannte fehlerbereinigte Softwareversion zu aktualisieren. Nach Angaben des Product Security Incident Response Team (PSIRT) von Cisco gibt es bislang keine Hinweise auf eine aktive Ausnutzung der Lücke.

Die in einer Sicherheitsmeldung am Mittwoch beschriebene Schwachstelle CVE-2026-20188 geht auf eine unzureichende Ratenbegrenzung für eingehende Netzwerkverbindungen zurück. Nicht authentifizierte Angreifer können sie aus der Ferne und mit geringem Aufwand ausnutzen, um ungepatchte Systeme von Cisco CNC und Cisco NSO zum Absturz zu bringen.

„Ein erfolgreicher Exploit könnte es dem Angreifer ermöglichen, die verfügbaren Verbindungsressourcen zu erschöpfen, sodass Cisco CNC und Cisco NSO nicht mehr reagieren und für legitime Nutzer sowie abhängige Dienste ein Denial-of-Service-Zustand entsteht. Zur Wiederherstellung ist ein manueller Neustart des Systems erforderlich“, erklärt Cisco in der Meldung.

Zur vollständigen Behebung rät der Hersteller nachdrücklich zum Wechsel auf die in der Meldung angegebene fehlerbereinigte Software. Obwohl die Lücke ein dauerhaftes Lahmlegen der betroffenen Systeme bis zum manuellen Eingriff erlaubt, sind dem PSIRT von Cisco keine laufenden Angriffe bekannt; eine Ausnutzung in freier Wildbahn wurde bislang nicht beobachtet.

Cisco hat allerdings schon früher DoS-Schwachstellen geschlossen, die tatsächlich für Angriffe missbraucht wurden. So warnte das Unternehmen im November 2025, dass zwei zuvor in Zero-Day-Angriffen ausgenutzte Lücken (CVE-2025-20362 und CVE-2025-20333) inzwischen genutzt würden, um ASA- und FTD-Firewalls in Neustart-Schleifen zu zwingen. Als Cisco diese beiden Schwachstellen im September patchte, ordnete die US-Behörde CISA per Notfallanweisung an, dass Bundesbehörden ihre Cisco-Firewalls innerhalb von 24 Stunden gegen Angriffe über diese Exploit-Kette absichern müssen.

Ebenfalls behoben hat Cisco Schwachstellen (CVE-2022-20653 und CVE-2024-20401), über die Angreifer mit präparierten E-Mail-Nachrichten Secure-Email-Appliances dauerhaft zum Absturz bringen konnten. Betroffenen Kunden riet das Unternehmen damals, sich an das Technical Assistance Center (TAC) zu wenden, da die Wiederinbetriebnahme manuell erfolgen musste.

Im vergangenen Jahr schloss Cisco zudem eine weitere DoS-Lücke (CVE-2025-20115), mit der sich der BGP-Prozess (Border Gateway Protocol) auf IOS-XR-Routern durch eine einzige BGP-Update-Nachricht zum Absturz bringen ließ.

Cisco-Schwachstelle legt Crosswork und NSO lahm – nur manueller Neustart hilft

Ähnliche Artikel

Neueste Artikel