SchwachstellenHackerangriffeCloud-Sicherheit

Cisco SD-WAN: Gefälschte Exploits und übersehene Schwachstellen verwirren Sicherheitsverantwortliche

Cisco SD-WAN: Gefälschte Exploits und übersehene Schwachstellen verwirren Sicherheitsverantwortliche
Zusammenfassung

Cisco-SD-WAN-Manager wird von kritischen Sicherheitslücken heimgesucht, die massive Auswirkungen auf Unternehmen weltweit haben könnten. Am 25. Februar offenbarte Cisco ein halbes Dutzend neuer Schwachstellen in seinem Software-Defined-WAN-Managementprodukt, von denen mindestens drei bereits von Angreifern ausgenutzt werden. Die kritischste Lücke, CVE-2026-20127, trägt die höchste CVSS-Bewertung von 10,0 und wurde Berichten zufolge sogar drei Jahre lang als Zero-Day-Exploit missbraucht. Allerdings lenkt die massive Aufmerksamkeit auf diese eine Schwachstelle von einem gleich gefährlichen Problem ab: CVE-2026-20133, eine Informationspreisgabe-Sicherheitslücke, die es Angreifern ermöglicht, private Schlüssel zu stehlen und Konfigurationen der SD-WAN-Geräte zu manipulieren. Zusätzlich verschärft die Flut gefälschter Proof-of-Concept-Exploits die Situation erheblich, was Organisationen bei ihrer Prioritätenbildung verwirrt. Für Deutschland sind diese Lücken besonders relevant, da viele Unternehmen und Behörden auf Cisco-Infrastruktur vertrauen. Die Sicherheitscommunity warnt daher vor der Überbetonung von öffentlichen PoCs und fordert stattdessen, den Fokus auf verifizierte, in der Praxis ausgenutzte Exploits zu legen, um eine sinnvolle Priorisierung von Patcharbeiten zu ermöglichen.

Die Sicherheitsforschungsgruppe VulnCheck hat die chaotische Reaktion auf die Cisco-Disclosure analysiert und warnt vor einer gefährlichen Fehlpriorisierung. Während CVE-2026-20127 mit ihrer kritischen Bewertung zu Recht Alarm auslöst, zeigen Tests der Forscher, dass CVE-2026-20133 eine unterschätzte Bedrohung darstellt.

Das Kernproblem von CVE-2026-20133 ist eine Information-Disclosure-Lücke mit der Bewertung 7.5 CVSS. Obwohl noch keine dokumentierten Exploits in der Praxis bekannt sind, demonstrierten VulnCheck-Forscher das volle Schadenpotential: Über die Sicherheitslücke gelang ihnen der Zugriff auf den Private Key des Standard-Benutzers “vmanage-admin” sowie auf das Shared Secret “confd_ipc_secret”. Mit diesen Zugangsdaten ließen sich das NETCONF-Protokoll kompromittieren und Netzwerk-Konfigurationen manipulieren. Lokale Benutzer könnten sogar zu Root-Rechten eskalieren. Angreifer könnten so Traffic umleiten oder Netzwerkmanagement übernehmen.

Eine weitere kritische Erkenntnis: VulnCheck ermittelte zwischen 275 und mehreren tausend öffentlich erreichbare Cisco SD-WAN Manager im Internet — die exakte Zahl variiert je nach Suchmaschine.

Doch die größte Verwirrung stiften die Exploits selbst. Nach der Cisco-Disclosure fluteten zahlreiche Proof-of-Concept-Programme das Internet. VulnCheck fand heraus, dass viele davon völlig funktionsunfähig oder offensichtlich gefälscht waren. Ein besonders verwirrender Fall: Der GitHub-Nutzer “zerozenxlabs” veröffentlichte einen funktionierenden Exploit, der aber CVE-2026-20127 gar nicht exploitierte. Stattdessen verband er drei andere Schwachstellen zu einer Exploit-Chain, um Credential-Dateien zu lesen und Webshells hochzuladen.

Caitlin Condon, VP Security Research bei VulnCheck, erklärt das Phänomen: “Wir sehen zunehmend KI-generierte, fehlerhafte Exploits. Der Wert öffentlicher PoCs als Risikosignal sinkt deutlich.” Besser als auf PoC-Verfügbarkeit sollten Organisationen auf echte, verifizierten Missbrauch achten.

Der erste valide PoC für CVE-2026-20127 erschien erst am 11. März von einem Rapid7-Forscher. Seither dürften Angriffe massiv zunehmen. Für deutsche Unternehmen empfiehlt sich dringend: Patches installieren, Systeme aus dem öffentlichen Internet zurückziehen und verlässliche Quellen zur Lagebewertung nutzen — nicht jeden veröffentlichten Exploit am Internet vertrauen.

Ähnliche Artikel