SchwachstellenCloud-Sicherheit

Kritische Lücke in Cisco Secure Workload: Admin-Privilegien für Angreifer erreichbar

Von CyberDeutsch Redaktion
Kritische Lücke in Cisco Secure Workload: Admin-Privilegien für Angreifer erreichbar
Zusammenfassung

Cisco hat eine kritische Sicherheitslücke in seiner Secure Workload-Plattform behoben, die es Angreifern ermöglicht hätte, mit Site Admin-Rechten auf Systemressourcen zuzugreifen. Die Schwachstelle (CVE-2026-20223) mit der höchstmöglichen CVSS-Bewertung von 10 aus 10 Punkten entstand durch unzureichende Validierung und Authentifizierung in den REST-API-Schnittstellen. Durch manipulierte API-Anfragen konnten Angreifer potenziell sensible Informationen auslesen und Konfigurationen mandantenübergreifend modifizieren. Das Sicherheitsproblem betrifft sowohl SaaS- als auch lokale Installationen und wurde mit den Versionen 3.10.8.3 und 4.0.3.17 behoben. Für deutsche Unternehmen und Behörden, die Cisco Secure Workload zur Netzwerksegmentierung und Sicherheitsüberwachung einsetzen, bedeutet dies ein erhebliches Risiko, besonders wenn die Systeme dem Internet ausgesetzt sind. Datenschutz und Compliance könnten gefährdet sein, falls Angreifer Zugriff auf Konfigurationen erlangten. Cisco konnte bislang keine aktiven Exploits in der Natur nachweisen, empfiehlt aber dringend sofortige Updates aller betroffenen Systeme.

Die Schwachstelle stellt ein erhebliches Sicherheitsrisiko dar, da sie ausschließlich die internen REST-APIs betrifft, während die webbasierte Verwaltungsoberfläche nicht anfällig ist. Dies bedeutet allerdings nicht, dass die Gefahr gering ist – im Gegenteil: Angreifer hätten durch gezielt manipulierte API-Anfragen an betroffene Endpunkte vollständige administrativen Zugriff auf die Plattform erlangen können. Für deutsche Unternehmen, die Secure Workload zur Überwachung und Sicherung ihrer Workloads nutzen, hätte dies katastrophale Konsequenzen haben können.

Besonders bemerkenswert ist die Tatsache, dass die Schwachstelle alle Bereitstellungsmodelle betroffen hätte – unabhängig davon, ob Unternehmen die Lösung in der Cloud oder lokal betrieben haben. Dies unterstreicht die Notwendigkeit schneller Patches und verdeutlicht, warum das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) solche kritischen Lücken kontinuierlich überwacht und betroffene Organisationen warnt.

Cisco hat die Schwachstelle in den Versionen 3.10.8.3 und 4.0.3.17 von Secure Workload geschlossen. Das Unternehmen betont, dass es derzeit keine Hinweise auf aktive Ausnutzung gibt – ein günstiger Umstand, der jedoch nicht zur Nachlässigkeit verleiten sollte. Für Unternehmen mit DSGVO-Verpflichtungen ist ein schnelles Update entscheidend, denn unbefugter Zugriff auf sensible Daten hätte Meldepflichten und mögliche Bußgelder bis zu 4 Prozent des Jahresumsatzes zur Folge.

Parallel zu diesem kritischen Update veröffentlichte Cisco am selben Tag Patches für drei weitere Schwachstellen mittlerer Schwere: Diese betreffen die ThousandEyes Virtual Appliance, ThousandEyes Enterprise Agent sowie Nexus 3000- und 9000er-Serien-Switches. Diese Lücken könnten Remote-Code-Execution mit root-Privilegien oder BGP-Peer-Flaps ermöglichen, was zu Denial-of-Service-Angriffen führt.

Für deutsche Organisationen empfiehlt sich ein strukturiertes Patch-Management: Updates sollten priorisiert werden, zunächst in Test-Umgebungen validiert und dann kontrolliert ausgerollt werden. Besonders kritisch ist die Überwachung interner APIs auf verdächtige Zugriffsmuster bis zur vollständigen Aktualisierung aller Systeme.

Ähnliche Artikel