Cisco hat eine kritische Authentifizierungslücke (CVE-2026-20127) in seinem Catalyst SD-WAN Controller offengelegt, die bereits seit mindestens drei Jahren aktiv ausgespäht wird. Die US-Behörde CISA ordnete eine Notfall-Patchfrist für Bundesbehörden an.
Cisco hat am Dienstag eine kritische Sicherheitslücke in seinem Catalyst SD-WAN Controller bestätigt, die Angreifer bereits seit mindestens drei Jahren im Feld ausnutzen. Die als CVE-2026-20127 katalogisierte Schwachstelle ermöglicht es Attackern, sich über manipulierte Anfragen mit erhöhten Berechtigungen in den Systemen anzumelden. Die Lücke weist einen maximalen CVSS-Score von 10 auf.
Zwischen den Zeilen offenbarten die Cisco-Sicherheitsexperten ein noch dramatischeres Bild: Unbekannte Angreifer nutzten die Schwachstelle zunächst, um als vertrauenswürdiger Peer in das SD-WAN-Managementsystem einzudringen. Anschließend führten sie eine Systemversion durch und exploitierten die ältere Lücke CVE-2022-20775, um Root-Zugriff zu erlangen. Diese hochgradig orchestrierte Angriffssequenz wird dem Bedrohungsakteur UAT-8616 zugeordnet.
Die US-Cybersecurity and Infrastructure Security Agency (CISA) reagierte mit einem Notfallbefehl und verpflichtete Bundesbehörden, beide Sicherheitslücken bis Freitag zu patchen – ein Zeitrahmen, der deutlich enger ausfällt als die üblichen zwei Wochen. Dies unterstreicht die Schwere der Situation.
Wie aus einem 41-seitigen Threat-Hunting-Report hervorgeht, den australische Geheimdienste gemeinsam mit CISA, der NSA und internationalen Partnern verfassten, konnten Ermittler mindestens einen Threat Actor bei der Kompromittierung von SD-WAN-Systemen seit 2023 nachweisen. Allerdings blieben die Attacken auf die SD-WAN-Komponenten beschränkt – keine Hinweise auf seitliche Bewegungen oder Command-and-Control-Malware wurden gefunden.
Cisco-Experten warnen, dass dies möglicherweise erst der Anfang ist. Historisch betrachtet haben staatlich unterstützte Gruppen wie Salt Typhoon und Volt Typhoon wiederholt Cisco-Geräte als Einfallstore genutzt. Die Tatsache, dass UAT-8616 ohne erkennbare digitale Spuren agierte, deutet auf professionelle Operational Security hin.
Cisco empfiehlt sofortige Maßnahmen: Aktualisierung auf gepatchte Versionen, Beschränkung des Internetzugangs, Deaktivierung von HTTP für die Admin-Oberfläche und Änderung von Standardpasswörtern. Zur Detektion von Kompromittierungen sollten Administratoren ihre Systeme auf verdächtige Peer-Einträge, Versionsverschleierungen und ungeplante Neustarts überprüfen. Zusätzlich wird empfohlen, Firewalls einzusetzen, zentrale Logging-Systeme zu aktivieren und die aktuelle “Golden Star”-Softwareversion zu nutzen.
Quelle: Dark Reading