Douglas McKee, Director of Vulnerability Intelligence bei Rapid7, ordnete die Tragweite in einem aktualisierten Blogbeitrag ein. „Angreifer sind sehr gut darin geworden, Schwächen in zentraler Infrastruktur in folgenreiche Operationen zu verwandeln", warnte er. Gerade für Nationalstaaten sei ein SD-WAN-Controller ein idealer Ort für Spionage, „weil er inmitten von Vertrauensbeziehungen sitzt, die die meisten Organisationen selten hinterfragen". Zugleich relativierte McKee: „Um fair zu bleiben — nicht jeder Fehler führt über Nacht zu weltweiter Ausnutzung."

In diesem Fall war genau das jedoch bereits geschehen. Cisco Talos verfolgt die verantwortliche Gruppe als UAT-8616 und bezeichnet sie als hochentwickelt.

CVE-2026-20182 ist weder die erste Schwachstelle in Cisco Catalyst in diesem Jahr noch die erste Authentifizierungs-Umgehung mit der CVSS-Höchstwertung 10. Bereits im Februar legte Cisco ein halbes Dutzend Probleme in Catalyst offen, darunter CVE-2026-20127. Diese erlaubte es nicht authentifizierten Angreifern, sich als hochprivilegierte Nutzer an Cisco-Controllern anzumelden. Cisco stufte die Ausnutzung in freier Wildbahn als „begrenzt" ein, während Talos-Forscher von einem weitreichenden Missbrauch über mindestens einige Jahre ausgingen und dahinter ebenfalls UAT-8616 verorteten.

Cisco schloss CVE-2026-20127 mit einem Patch, doch die Gruppe wich offenbar nahezu unmittelbar auf eine fast identische Schwachstelle in derselben Produktlinie aus. Der Unterschied ist im Kern technischer Natur: Im Februar authentifizierten Controller und Manager die SD-WAN-Komponenten nicht streng genug, sodass sich ein Angreifer per präpariertem Datenpaket als Gerät ausgeben konnte. Bei der neuen Lücke prüft der Controller die Legitimität eines bestimmten Komponententyps nicht — eines in Cloud-Bereitstellungen genutzten Hub-Routers namens „vHub" — bevor er ihn authentifiziert.

Bei der ersten Ausnutzung einer Catalyst-Authentifizierungslücke nutzte UAT-8616 den erlangten Zugang, um über eine ältere Schwachstelle, CVE-2022-20775, von privilegierten Rechten zu vollem Root-Zugriff aufzusteigen. Talos deutete an, die Gruppe könnte darauf abzielen, „dauerhafte Zugänge in hochwertige Organisationen einschließlich kritischer Infrastruktur" einzurichten. Auch diesmal beobachteten die Forscher „ähnliche Aktionen nach der Kompromittierung": das Hinzufügen von SSH-Schlüsseln, das Verändern von NETCONF-Konfigurationen und den Aufstieg zu Root.

Über UAT-8616 ist darüber hinaus wenig bekannt. Talos schreibt, die Gruppe „überschneidet sich mit den von ihr verfolgten Operational-Relay-Box-Netzwerken (ORB)", die vor allem bei chinesischen Gruppen verbreitet sind.

Organisationen sollten Ciscos neuen Patch für CVE-2026-20182 einspielen. Jonah Burgess, Senior Security Researcher bei Rapid7, betont das Risiko zentraler Steuerungsebenen: „Ein einzelner kompromittierter Controller kann das gesamte Overlay-Netzwerk betreffen." Zugleich warnt er vor übertriebener Abschreckung: „Zentralisiertes SD-WAN-Management löst echte betriebliche Probleme, und die Architektur selbst ist nicht der Fehler."