Cisco hat zwei weitere kritische Schwachstellen in seinen Catalyst SD-WAN-Produkten auf die Liste aktiv ausgebeuteter Lücken gesetzt. Die Vulnerabilities CVE-2026-20128 und CVE-2026-20122 werden offenbar von Angreifern in der Praxis missbraucht.
Der Netzwerkausrüster Cisco meldet seinen Kunden erneut Schlechtnachrichten: Zwei kürzlich behobene Sicherheitslücken in der Catalyst SD-WAN-Produktlinie werden bereits von Angreifern im Feld ausgenutzt.
Cisco hatte am 25. Februar Patches für fünf Catalyst SD-WAN-Schwachstellen bereitgestellt, darunter mehrere kritische und hochgradig gefährliche Lücken, die Unbefugten Systemzugriff und Privilegienerweiterung bis zur Root-Ebene ermöglichen können. Am 5. März aktualisierte das Unternehmen seine Sicherheitsmitteilung mit der Warnung, dass zwei dieser fünf Vulnerabilities aktiv ausgenutzt werden: CVE-2026-20128 und CVE-2026-20122.
Bei CVE-2026-20128 handelt es sich um ein Informationsoffenbarungsproblem im Data Collection Agent (DCA) des Catalyst SD-WAN Manager. Ein authentifizierter Angreifer mit lokalen Zugriffsrechten kann sich damit DCA-Benutzerrechte auf dem System erschleichen.
CVE-2026-20122 wiederum ist ein Fehler bei der Dateiüberschreibung in der API des Catalyst SD-WAN Manager. Damit können authentifizierte Remote-Angreifer beliebige Dateien manipulieren und ihre Rechte erhöhen.
Cisco hat bislang keine technischen Details zu den laufenden Attacken veröffentlicht. Der Wortlaut der Stellungnahmen deutet jedoch darauf hin, dass die Lücken verkettete Angriffe als Teil mehrstufiger Exploits sind.
Diese Warnung kommt etwa eine Woche nach einer vorherigen Cisco-Mitteilung zu einer kritischen Zero-Day-Lücke in Catalyst SD-WAN, die ebenfalls bereits aktiv angegriffen wird. Die als CVE-2026-20127 katalogisierte Schwachstelle ermöglicht es Angreifern, die Authentifizierung zu umgehen und Admin-Rechte zu erlangen.
Nach Angaben von CISA und anderen Behörden wird CVE-2026-20127 in Angriffsszenarien mit der älteren Catalyst-Lücke CVE-2022-20775 kombiniert, um Authentifizierungsmechanismen zu überwinden, Rechte zu erweitern und Persistenz auf den Zielsystemen zu etablieren.
Cisco Talos hat diese Attacken mit UAT-8616 in Verbindung gebracht — eine hochentwickelte Bedrohungsgruppe, die mindestens seit 2023 aktiv ist. Unklar bleibt, ob sämtliche Catalyst SD-WAN-Lücken in derselben oder in unterschiedlichen Kampagnen angegriffen werden.
Kürzlich warnte Cisco zudem vor Zero-Day-Attacken, die von der chinesischen APT-Gruppe UAT-9686 durchgeführt werden.
Quelle: SecurityWeek