Das Sicherheitsunternehmen WatchTowr meldet eine deutliche Eskalation bei der Ausnutzung von Sicherheitslücken in Ciscos Catalyst SD-WAN Produktlinie. Die Schwachstelle CVE-2026-20127, die ursprünglich als Zero-Day-Lücke bekannt wurde, wird inzwischen von zahlreichen Bedrohungsakteuren im großen Stil angegriffen.
Die Lücke wurde initial in Kombination mit einer älteren Schwachstelle (CVE-2022-20775) ausgenutzt, um Authentifizierungsmechanismen zu umgehen, Berechtigungen zu erweitern und eine persistente Präsenz auf betroffenen Systemen zu etablieren. Cisco Talos verband die Attacken ursprünglich mit der Hackergruppe UAT-8616, einem äußerst professionellen Bedrohungsakteur unbekannter Herkunft, der seit mindestens 2023 aktiv ist.
Ryan Dewhurst, Leiter der Threat Intelligence bei WatchTowr, bestätigt gegenüber SecurityWeek, dass sich das Exploitations-Tempo für CVE-2026-20127 rapide beschleunigt hat. „Dies ist keine gezielte Aktivität mehr wie früher beschrieben, sondern mittlerweile ein internetweites und wachsendes Phänomen”, sagt Dewhurst.
Das Team von WatchTowr beobachtete Exploitierungsversuche von zahlreichen unterschiedlichen IP-Adressen weltweit. Besonders bemerkenswert ist die Deployment von Webshells durch Angreifer. Der größte Anstieg der Aktivitäten ereignete sich am 4. März, wobei die Attacken über verschiedene Regionen verteilt waren. Nordamerikanische Systeme verzeichneten dabei eine leicht erhöhte Angriffsfrequenz.
Dewhurst warnt: „Wir erwarten eine Fortsetzung dieser Aktivitäten, da zusätzliche Bedrohungsakteure hinzukommen werden.” Angesichts der massiven und opportunistischen Ausnutzung sollte jedes exponierte System als kompromittiert betrachtet werden, bis das Gegenteil bewiesen ist.
Cisco veröffentlichte diese Woche ein aktualisiertes Advisory, das zwei weitere Catalyst SD-WAN Sicherheitslücken dokumentiert: CVE-2026-20128 und CVE-2026-20122. Diese Lücken können von authentifizierten Angreifern für die Erhöhung von Berechtigungen ausgenutzt werden. Das Unternehmen teilte keine Details zu Attacken mit, die diese Schwachstellen nutzen, deutete aber an, dass sie mit anderen Flaws kombiniert wurden.
Es ist unklar, ob derselbe Bedrohungsakteur hinter allen Kampagnen gegen Catalyst SD-WAN Schwachstellen steckt. Cisco warnte kürzlich davor, dass eine Zero-Day-Lücke in Secure Email Gateway Appliances von chinesischen Hackern ausgenutzt wird, doch auch hier ist eine Verbindung zu den SD-WAN-Angriffen ungewiss.
Organisationen sollten dringend überprüfen, ob ihre Systeme exponiert sind, und sofortige Sicherheitsmaßnahmen einleiten, um Kompromittierungen zu verhindern.