SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Cisco SD-WAN-Lücke: Angreifer kapern Netzwerk-Infrastruktur weltweit

Von CyberDeutsch Redaktion
Kritische Cisco SD-WAN-Lücke: Angreifer kapern Netzwerk-Infrastruktur weltweit
Zusammenfassung

Cisco warnt vor einer kritischen Sicherheitslücke in seinen SD-WAN-Controllern, die bereits aktiv von Angreifern ausgenutzt wird. Die Schwachstelle CVE-2026-20182 mit maximaler Kritikalität ermöglicht es Attackern, sich als hochprivilegierte interne Benutzer anzumelden und dadurch administrative Kontrolle über das System zu erlangen. Das Sicherheitsproblem betrifft sowohl On-Premises- als auch Cloud-Deployments der Cisco Catalyst SD-WAN Controller und Manager. Besonders bemerkenswert ist, dass die Lücke bereits seit Mai von Threat Actors ausgenutzt wird, um unbefugte Geräte in SD-WAN-Umgebungen einzuschleusen. Für deutsche Unternehmen und Behörden, die auf Cisco SD-WAN-Technologie angewiesen sind – insbesondere Finanzinstitute, Energie- und Telekommunikationsunternehmen sowie öffentliche Institutionen – stellt dies ein erhebliches Risiko dar. Über kompromittierte SD-WAN-Controller können Angreifer potenziell ihre Präsenz im Netzwerk ausbauen und Konfigurationen manipulieren. Die US-Behörde CISA hat bereits eine Frist bis Mai 2026 für Bundesbehörden gesetzt, was die Dringlichkeit unterstreicht. Für deutsche Organisationen ist eine sofortige Überprüfung der eigenen Systeme und zeitnahe Patch-Installation erforderlich.

Das Problem liegt in einem fehlerhaften Authentifizierungsmechanismus für sogenannte Peering-Verbindungen innerhalb des SD-WAN-Fabrics. Angreifer können speziell präparierte Anfragen senden und sich dadurch als vertrauenswürdiger Peer registrieren — quasi als legitimes Gerät innerhalb der Netzwerk-Infrastruktur des Opfers. Die Attacke wurde erstmals im Mai erkannt, wurde aber offenbar schon länger ausgenutzt, ohne dass Cisco dies öffentlich kommunizierte.

Besonders perfide ist die Folge eines erfolgreichen Exploits: Der Angreifer kann sogenannte Rogue Peers in das Netzwerk einschleusen — also bösartige Geräte, die wie legitime Komponenten aussehen. Von diesen Positionen aus lässt sich dann weiter in die Unternehmensinfrastruktur eindringen, da verschlüsselte SD-WAN-Verbindungen zwischen Filialen, Rechenzentren und Cloud-Services etabliert werden. Der Angreifer erhält quasi die Schlüssel zum gesamten Netzwerk-Reich.

Dass ausgerechnet Rapid7 diese Lücke beim Patchen einer anderen Cisco SD-WAN-Schwachstelle (CVE-2026-20127) entdeckt hat, ist bemerkenswert. CVE-2026-20127 wurde bereits seit 2023 durch eine Hackergruppe namens “UAT-8616” aktiv exploitet — ebenfalls zum Erstellen von Rogue Peers. Dies deutet auf ein systematisches Problem in Ciscos Authentifizierungslogik hin.

Cisco hat zwar Patches bereitgestellt, warnt aber eindringlich davor, dass es keinen vollständigen Workaround ohne Update gibt. Das Unternehmen empfiehlt deutschen IT-Teams konkrete Sofortmaßnahmen:

Logfiles durchforsten: Administratoren sollten sofort die /var/log/auth.log-Dateien auf verdächtige “Accepted publickey for vmanage-admin”-Einträge durchsuchen und die IP-Adressen überprüfen. Jede unbekannte IP-Adresse mit erfolgreichem Zugriff deutet auf Kompromittierung hin.

Netzwerk-Segmentierung: Der Zugang zu SD-WAN-Management-Interfaces sollte auf vertrauenswürdige interne Netzwerke oder explizit autorisierte IP-Adressen beschränkt werden.

Regelmäßige Audits: SD-WAN-Controller-Logs müssen auf unauthorized Peering Events überwacht werden.

Für deutschsprachige Organisationen ist das Patching zur Pflicht geworden: CISA hat CVE-2026-20182 in den Katalog der aktiv exploitierten Lücken aufgenommen. Das BSI wird folgen. Ein Nicht-Patchen könnte nicht nur zu gravierenden Netzwerk-Kompromittierungen führen, sondern bei DSGVO-Verstößen auch zu Bußgeldern bis 4 Prozent des Jahresumsatzes resultieren.

Ähnliche Artikel