Die Ausnutzung von vier Schwachstellen in Cisco Catalyst SD-WAN wurde in den vergangenen Wochen öffentlich. Eine davon, CVE-2026-20127, wurde anfangs als Zero-Day missbraucht und mit der älteren CVE-2022-20775 verkettet, um die Authentifizierung zu umgehen, Privilegien auszuweiten und Persistenz auf den betroffenen Systemen herzustellen.
Cisco Talos ordnete die Angriffe dem Akteur UAT-8616 zu — einer hochentwickelten Gruppe, deren Herkunft und Motivation nicht näher bestimmt sind und die mindestens seit 2023 aktiv ist.
Nach Darstellung von Ryan Dewhurst, Leiter der proaktiven Bedrohungsaufklärung bei WatchTowr, hat das Tempo der Ausnutzung von CVE-2026-20127 wenig überraschend schnell zugenommen. Es handle sich nicht mehr um die zuvor beschriebenen gezielten Aktivitäten, sondern um eine internetweite und weiter wachsende Ausnutzung, sagte er gegenüber SecurityWeek.
Insgesamt habe das Team von WatchTowr Ausnutzungsversuche von zahlreichen einzelnen IP-Adressen registriert und beobachtet, wie Angreifer Webshells installieren. Der größte Aktivitätsanstieg habe sich am 4. März ereignet, mit Angriffen, die breit über verschiedene Regionen weltweit verteilt waren; in Gebieten innerhalb der USA fiel die Aktivität etwas höher aus als anderswo.
Dewhurst rechnet damit, dass die Aktivität im Rahmen des typischen langen Auslaufs der Ausnutzung anhält, je mehr Angreifer sich beteiligen. Bei massenhafter und opportunistischer Ausnutzung sollte jedes exponierte System als kompromittiert gelten, solange das Gegenteil nicht erwiesen ist.
Cisco aktualisierte in dieser Woche ein Advisory vom 25. Februar und informierte Kunden über die Ausnutzung zweier weiterer Catalyst-SD-WAN-Schwachstellen, die von authentifizierten Angreifern zur Rechteausweitung genutzt werden können: CVE-2026-20128 und CVE-2026-20122. Zu den Angriffen auf diese Lücken nannte das Unternehmen keine Details, seine Beschreibung deutet jedoch darauf hin, dass sie mit anderen Schwachstellen verkettet wurden.
Ob hinter allen Kampagnen gegen Catalyst-SD-WAN-Schwachstellen derselbe Akteur steckt, ist offen. Cisco hatte zuletzt gewarnt, dass ein Zero-Day in Secure-Email-Gateway-Appliances von mit China in Verbindung gebrachten Angreifern ausgenutzt worden sei — auch hier ist jedoch unklar, ob ein Zusammenhang besteht.
