Die Cisco Catalyst SD-WAN Controller und Manager sind anfällig für einen kritischen Authentication-Bypass, der bereits von der Hackergruppe UAT-8616 aktiv ausgenutzt wird. Das Bedrohungsteam Cisco Talos beobachtete parallele Post-Exploitation-Maßnahmen wie das Hinzufügen von SSH-Schlüsseln, Modifikation von NETCONF-Konfigurationen und Privileg-Eskalation auf Root-Ebene.
Besonders alarmierend ist die Verkettung mehrerer Schwachstellen: Die CVE-2026-20133, CVE-2026-20128 und CVE-2026-20122 können kombiniert werden, um unauthentifizierten Remote-Zugriff zu ermöglichen. Diese Lücken wurden bereits im März 2026 von mindestens zehn verschiedenen Hacker-Clustern ausgenutzt. Die Angreifer nutzen öffentlich verfügbare Proof-of-Concept-Exploits, um Web-Shells auf kompromittierten Systemen zu installieren — insbesondere die JSP-basierte XenShell, benannt nach dem PoC von ZeroZenX Labs.
Das technische Overlap zwischen UAT-8616 und Operational Relay Box (ORB)-Netzwerken deutet auf eine organisierte Threat-Landschaft hin. Die Infrastruktur wird gezielt für Reconnaissance und laterale Bewegungen in Netzwerken eingesetzt.
Für deutsche Organisationen ergeben sich mehrere Handlungsfelder: Erstens sollten Systemverantwortliche sofort überprüfen, ob Cisco SD-WAN Controller in ihrer Umgebung eingesetzt werden. Zweitens müssen Sicherheits-Patches priorisiert werden — CISA hat eine Frist bis 17. Mai 2026 für US-Bundesbehörden gesetzt, doch Privatunternehmen sollten schneller handeln. Drittens ist eine erhöhte Netzwerk-Überwachung angezeigt, um unbefugte SSH-Zugriffe oder verdächtige NETCONF-Änderungen zu erkennen. Cisco empfiehlt, die Empfehlungen in seinen Sicherheitsadvisories genau zu befolgen und Access-Kontrollen zu verschärfen.
Das BSI wird voraussichtlich eine Warnung (und möglicherweise einen Basisschutz-Hinweis) ausgeben. Unternehmen, die als kritische Infrastruktur gelten, sollten sich bereits jetzt an ihre zuständigen Behörden wenden.