Cisco schließt sechste ausgenutzte SD-WAN-Zero-Day-Lücke des Jahres 2026

Zusammenfassung

Cisco hat Patches für eine weitere kritische Schwachstelle in seiner SD-WAN-Produktlinie veröffentlicht, die bereits in Angriffen ausgenutzt wurde. Es handelt sich um die sechste SD-WAN-Lücke, deren Ausnutzung im Jahr 2026 bekannt geworden ist. Die als CVE-2026-20182 geführte Zero-Day-Lücke beschreibt Cisco als Schwachstelle zur Umgehung der Authentifizierung: Ein entfernter Angreifer kann über speziell präparierte Pakete Administratorrechte auf dem Zielsystem erlangen. Betroffen ist der Peering-Authentifizierungsmechanismus im Cisco Catalyst SD-WAN Controller (früher SD-WAN vSmart) sowie im Cisco Catalyst SD-WAN Manager (früher SD-WAN vManage). Nach eigenen Angaben wurde Cisco in diesem Monat auf aktive Ausnutzung aufmerksam. Die hauseigene Bedrohungsforschungsgruppe Talos ordnet die Angriffe einem Akteur zu, den sie unter der Bezeichnung UAT-8616 führt und als hochentwickelt einstuft. Gemeldet wurde die Schwachstelle dem Hersteller von der Sicherheitsfirma Rapid7. CISA hat CVE-2026-20182 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und Bundesbehörden angewiesen, die Lücke innerhalb von drei Tagen zu schließen.

Die neue Schwachstelle betrifft den Peering-Authentifizierungsmechanismus im Cisco Catalyst SD-WAN Controller (vormals SD-WAN vSmart) und im Cisco Catalyst SD-WAN Manager (vormals SD-WAN vManage). Über speziell gestaltete Pakete kann ein entfernter Angreifer die Authentifizierung umgehen und Administratorrechte auf dem Zielsystem erlangen.

Cisco wurde nach eigenen Angaben in diesem Monat auf die laufende Ausnutzung aufmerksam. Die hauseigene Bedrohungsforschung Talos berichtet, dass CVE-2026-20182 offenbar in einer begrenzten Zahl von Angriffen durch einen Akteur ausgenutzt wurde, den sie als UAT-8616 führt. Talos beschreibt die Gruppe als hochentwickelt, machte aber zu ihrer Motivation und möglichen Verbindungen zu einem Land oder einer bekannten Gruppierung keine Angaben.

Derselbe Akteur hatte zuvor bereits CVE-2026-20127 ausgenutzt, um sich unbefugten Zugriff auf SD-WAN-Systeme zu verschaffen. Laut Talos versuchte UAT-8616, SSH-Schlüssel hinzuzufügen, NETCONF-Konfigurationen zu verändern und Root-Rechte zu erlangen. Die für die Ausnutzung und die anschließenden Aktivitäten genutzte Infrastruktur überschneide sich zudem mit den sogenannten Operational-Relay-Box-Netzwerken (ORB), die Talos genau beobachtet.

Für die Meldung von CVE-2026-20182 an Cisco wird die Sicherheitsfirma Rapid7 genannt. Das Unternehmen übermittelte dem Hersteller die technischen Details am 9. März und stieß auf die Schwachstelle bei einer Analyse von CVE-2026-20127; es handle sich um zwei unterschiedliche Lücken in derselben Komponente. Rapid7 veröffentlichte die Details am Donnerstag, Cisco stellte Kompromittierungsindikatoren (IoCs) bereit, um Unternehmen das Aufspüren möglicher Angriffe zu erleichtern.

CISA nahm CVE-2026-20182 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und setzte Bundesbehörden eine Frist von drei Tagen. Der KEV-Katalog umfasst derzeit 15 Cisco-SD-WAN-Schwachstellen, fünf davon wurden in diesem Jahr entdeckt: neben CVE-2026-20182 sind dies CVE-2026-20128, CVE-2026-20122, CVE-2026-20133 und CVE-2026-20127. Auch eine ältere Lücke, CVE-2022-20775, wurde in diesem Jahr als aktiv ausgenutzt eingestuft.

Talos beschrieb darüber hinaus zehn Aktivitätscluster, die SD-WAN-Schwachstellen ausnutzen, um Kryptowährungs-Miner, Tools zum Diebstahl von Zugangsdaten, Backdoors, Webshells sowie weitere Schadsoftware und Hacking-Werkzeuge einzuschleusen.

Cisco schließt sechste ausgenutzte SD-WAN-Zero-Day-Lücke des Jahres 2026

Ähnliche Artikel

Neueste Artikel