CISA nimmt drei aktiv ausgenutzte Schwachstellen von Cisco, Chrome und Arista in KEV-Katalog auf

CISA hat drei neue Einträge in den KEV-Katalog aufgenommen und damit auf Berichte über aktive Ausnutzung reagiert. Die neu aufgenommenen Schwachstellen betreffen Cisco, Chrome und Arista. Für Behörden der Federal Civilian Executive Branch gilt die Anweisung, die nötigen Korrekturen oder Abhilfemaßnahmen bis zum 23. Juni 2026 einzuspielen.

Im Mittelpunkt der vorliegenden Angaben steht CVE-2026-7473 in Arista EOS. Arista beschreibt das Problem so: Auf betroffenen Plattformen mit einer konfigurierten Tunnel-Entkapselung, etwa VXLAN, Decap-Groups oder einer GRE-Tunnel-Schnittstelle, entkapselt und leitet der Switch auch andere, unerwartete getunnelte Pakete weiter, sofern deren Ziel-IP der konfigurierten Entkapselungs-IP entspricht.

Nach Herstellerangaben entsteht das Verhalten, weil der Switch den Typ des Tunnelprotokolls nicht prüft. Das kann dazu führen, dass nicht konfigurierte Tunnel-Verkehre unerwartet verarbeitet werden. Betroffen sind laut Arista vor allem die Produktreihen 7020R, 7280R/R2 und 7500R/R2.

Arista schränkt zugleich ein, dass die Schwachstelle nicht unter allen Umständen ausnutzbar ist. Für eine erfolgreiche Ausnutzung muss das Gerät als Tunnel-Endpunkt mit einer Entkapselungs-IP konfiguriert sein. Als Beispiele nennt das Unternehmen einen VXLAN-VTEP, einen GRE-Tunnel-Endpunkt oder eine Konfiguration mit IP-Decap-Group.

Der Netzwerkausrüster erklärte außerdem, die Schwachstelle sei „als in freier Wildbahn ausgenutzt gemeldet worden“. Für die verantwortungsvolle Offenlegung nennt Arista Scott Christiansen, Lukas Peitz, Rich Compton und Jonathan Davis von Comcast.

Einen Patch für CVE-2026-7473 plant Arista nach eigenen Angaben nicht. Das Unternehmen begründet dies mit dem Risiko, dass bestehende Konfigurationen in Installationen dadurch beeinträchtigt oder funktionsunfähig werden könnten. Stattdessen hat Arista Maßnahmen zur Risikominderung beschrieben.

Nach Angaben des Herstellers gibt es zwei grundlegende Ansätze: Erstens können Zugriffssteuerungslisten auf vorgeschalteten Geräten angewendet werden. Zweitens lassen sich solche Listen direkt auf den Geräten einsetzen, auf denen die unerwartete Entkapselung stattfindet. In beiden Fällen gehe es darum, entweder ausschließlich legitimen Tunnel-Verkehr gezielt zuzulassen oder bösartigen Tunnel-Verkehr gezielt zu blockieren.

Welche konkreten Schwachstellen bei Cisco und Chrome zusätzlich in den KEV-Katalog aufgenommen wurden, nennt der vorliegende Text nicht. Fest steht laut CISA, dass alle drei aufgenommenen Lücken nach Berichten aktiv ausgenutzt werden.