SchwachstellenHackerangriffeCloud-Sicherheit

Sechste Cisco SD-WAN Schwachstelle 2026: Neue Zero-Day CVE-2026-20182 aktiv ausgenutzt

Von CyberDeutsch Redaktion
Sechste Cisco SD-WAN Schwachstelle 2026: Neue Zero-Day CVE-2026-20182 aktiv ausgenutzt
Zusammenfassung

Cisco hat am Donnerstag einen Patch für eine weitere kritische Zero-Day-Sicherheitslücke in seinen SD-WAN-Systemen veröffentlicht, die bereits von Angreifern ausgenutzt wird. Die als CVE-2026-20182 katalogisierte Authentifizierungslücke betrifft die Cisco Catalyst SD-WAN Controller und den SD-WAN Manager und ermöglicht es Fernzugriffen, Admin-Rechte auf betroffenen Systemen zu erlangen. Dies ist bereits die sechste SD-WAN-Sicherheitslücke, deren aktive Ausnutzung im Jahr 2026 bekannt wurde. Die hochsophistizierte Bedrohungsgruppe UAT-8616 soll die Lücke bereits in gezielten Angriffen ausgenutzt haben, um SSH-Schlüssel hinzuzufügen, Konfigurationen zu manipulieren und Root-Zugriff zu erlangen. Für deutsche Unternehmen und Behörden, die Cisco SD-WAN-Systeme einsetzen, stellt dies ein erhebliches Risiko dar. Das US-Heimatschutzministerium CISA hat die Sicherheitslücke als kritisch eingestuft und fordert Bundesbehörden auf, Patches innerhalb von drei Tagen einzuspielen. Cisco hat zudem Indikatoren für Kompromittierungen veröffentlicht, um potenzielle Angriffe aufzudecken.

Die Schwachstelle CVE-2026-20182 wurde bereits im Mai 2026 aktiv ausgenutzt, wie Ciscos Talos-Forschungsteam mitteilte. Der Angreifer wird unter dem Namen UAT-8616 verfolgt – eine hochspezialisierte Bedrohungsgruppe, deren Motivationen und mögliche Länderzugehörigkeit bislang ungeklärt bleiben.

Die Angriffe zeigen ein systematisches Vorgehen: Nach der initialen Kompromittierung versuchte UAT-8616, SSH-Schlüssel hinzuzufügen, NETCONF-Konfigurationen zu manipulieren und Root-Rechte zu eskalieren. Besonders bemerkenswert ist die Überschneidung mit sogenannten ORB-Netzwerken (Operational Relay Box), die Talos regelmäßig überwacht.

UAT-8616 nutzte zuvor bereits CVE-2026-20127 zur unbefugten Systemzuführung. Die beiden Lücken beeinflussen zwar die gleiche Komponente, sind aber verschiedene Schwachstellen – was das Risiko für Organisationen mit veralteten Patches erheblich erhöht.

Entdeckt wurde CVE-2026-20182 durch Rapid7, das die technischen Details bereits am 9. März an Cisco übermittelt hatte. Am Donnerstag veröffentlichte Rapid7 die Details, Cisco stellte zeitgleich Indikatoren zur Angriffserkennung (IoCs) bereit.

Das Ausmaß der Problematik zeigt sich in Zahlen: Insgesamt 15 Cisco SD-WAN-Lücken stehen auf der KEV-Liste, fünf davon wurden 2026 entdeckt. Neben CVE-2026-20182 sind dies CVE-2026-20128, CVE-2026-20122, CVE-2026-20133 und CVE-2026-20127. Hinzu kommt eine ältere Lücke, CVE-2022-20775, die ebenfalls in diesem Jahr ausgenutzt wurde.

Talos dokumentierte zehn verschiedene Angriffscluster, die SD-WAN-Schwachstellen zur Verbreitung von Kryptomining-Software, Credential-Stealern, Backdoors und Webshells missbrauchten. Dieser diversifizierte Angriffansatz deutet auf organisierte Cyberkriminalität hin.

Für deutsche Unternehmen und Behörden bedeutet dies höchste Priorität bei Patch-Management. Da SD-WAN-Systeme zentral für Netzwerk-Architektur verantwortlich sind, gefährdet eine Kompromittierung die gesamte IT-Infrastruktur – ein Szenario, das unter die Meldepflichten der DSGVO fällt und potenzielle Bußgelder nach sich zieht.

Ähnliche Artikel