SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Cisco SD-WAN Lücke: Hacker-Gruppe UAT-8616 nutzt Authentication-Bypass aktiv aus

Von CyberDeutsch Redaktion
Kritische Cisco SD-WAN Lücke: Hacker-Gruppe UAT-8616 nutzt Authentication-Bypass aktiv aus
Zusammenfassung

Eine kritische Sicherheitslücke in Ciscos SD-WAN-Controllern wird derzeit aktiv von Angreifern ausgenutzt und stellt eine massive Bedrohung für Unternehmen weltweit dar. Die Schwachstelle CVE-2026-20182 erhielt die höchstmögliche CVSS-Bewertung von 10.0 und ermöglicht es unauthentifizierten Angreifern, sich Administratorzugriff auf eines der kritischsten Netzwerkverwaltungssysteme zu verschaffen. Dies ist bereits die zweite vergleichbare Authentifizierungslücke in Ciscos Catalyst-Software innerhalb weniger Monate – die erste wurde im Februar entdeckt und ist Berichten zufolge bereits seit Jahren in freier Wildbahn ausgenutzt worden. Die Bedrohungsgruppe UAT-8616, die diese Exploits durchführt, gilt als hochsophistiziert und wird Verbindungen zu chinesischen Cyber-Spionageakteuren nachgesagt. Für deutsche Organisationen, besonders im Bereich kritischer Infrastrukturen, Unternehmen und Behörden, die auf Cisco-Lösungen für ihr Netzwerkmanagement angewiesen sind, ist dies eine unmittelbare Gefahr. Ein kompromittierter SD-WAN-Controller kann der Einstiegspunkt für tiefgreifende Netzwerkkompromittierungen werden, von denen Angreifer aus dem Zentrum der vertrauenswürdigen Beziehungen heraus auf alle verbundenen Systeme zugreifen können.

Die im Februar entdeckte CVE-2026-20127 war der Vorbote: Eine ähnliche Authentication-Bypass-Schwachstelle, die es Angreifern ermöglichte, sich als privilegierte Benutzer in Cisco Controllern anzumelden. Damals bewertete Cisco die aktive Ausnutzung als “begrenzt” — eine Einschätzung, die Cisco Talos Forscher jedoch in Frage stellten. Sie dokumentierten umfangreiche Exploitations-Aktivitäten über mehrere Jahre hinweg, eine geradezu epochale Zeitspanne in der Cybersicherheit.

Als Cisco CVE-2026-20127 patched, schien die unmittelbare Bedrohung gebannt. Doch die dahinter steckende Hacker-Gruppe UAT-8616 zeigte sich unbeeindruckt. Offenbar unmittelbar nach dem Patch identifizierten die Angreifer eine neue, fast identische Schwachstelle in derselben Produktlinie: CVE-2026-20182.

Der technische Unterschied mag subtil erscheinen, die Konsequenzen sind jedoch dramatisch. Im Februar betraf das Problem eine zu laxe Authentifizierung von SD-WAN Komponenten. Diesmal verifiziert der Controller nicht ausreichend die Legitimität von vHub-Router-Komponenten, die in Cloud-Deployments verwendet werden. Das Ergebnis ist identisch: Angreifer können administrative Privilegien erlangen und über das NETCONF-Protokoll beliebige Netzwerk-Konfigurationen manipulieren.

Rapid7 Sicherheitsforscher warnen vor den Implikationen einer kompromittierten SD-WAN-Zentrale. “Eine single compromised Controller kann das gesamte Overlay-Netzwerk gefährden”, erklärt Jonah Burgess. Dies macht zentrale Netzwerk-Management-Lösungen zu hochattraktiven Zielen für Spionage und Sabotage — besonders für Nation-State-Akteure.

UAT-8616 demonstriert diese Risiken eindrucksvoll. Nach Erlangung des initialen Zugriffs über CVE-2026-20182 führen die Angreifer typische Post-Compromise-Aktivitäten durch: SSH-Keys werden zu Systemen hinzugefügt, NETCONF-Konfigurationen manipuliert, und die Privilegien werden bis zur Root-Ebene eskaliert. Mit CVE-2026-20127 nutzten sie bereits eine ältere Schwachstelle (CVE-2022-20775) zur Privilegs-Eskalation. Das Muster deutet auf hochqualifizierte Angreifer hin, die gezielt Zugang zu Organisationen kritischer Infrastruktur anstreben.

Cisco hat den kritischen Patch bereitgestellt. Doch die rasante Abfolge von Schwachstellen zeigt ein systemisches Problem: Zentrale Netzwerk-Management-Lösungen müssen mit höchster Sicherheitsstandards entwickelt werden.

Ähnliche Artikel