Cisco Talos verwies in seinem Beitrag auf einen 41-seitigen Leitfaden zur Bedrohungssuche, der vom Australian Signals Directorate Australian Cyber Security Centre veröffentlicht und gemeinsam mit CISA, der US-amerikanischen National Security Agency (NSA) sowie weiteren internationalen Partnern verfasst wurde.

Nach den Ermittlungen der beteiligten Nachrichtendienste eskalierte der Angreifer seine Rechte vermutlich über das Herabstufen der Softwareversion zum Root-Benutzer. Anschließend soll er CVE-2022-20775 ausgenutzt und danach die ursprüngliche Softwareversion wiederhergestellt haben, wodurch er effektiv Root-Zugriff erlangte. Talos verfolgt diese Aktivität als UAT-8616 und beschreibt die Gruppe als “hoch entwickelten Bedrohungsakteur”. Wer hinter UAT-8616 steht und welche Netzwerke kompromittiert wurden, ist unklar.

Laut dem Leitfaden hatte mindestens ein Angreifer seit 2023 Cisco-SD-WANs kompromittiert, die damals als SD-WAN vSmart bekannt waren. Als Ursache wurde CVE-2026-20127 erst gegen Ende 2025 identifiziert. Welche Organisationen betroffen waren oder wie viele Opfer es gab, gaben die Behörden nicht an. Alle beobachteten Aktivitäten beschränkten sich jedoch auf SD-WAN-Komponenten; es gab keine Hinweise auf seitliche Bewegungen außerhalb dieser Systeme und keine Command-and-Control-Malware.

Dem Leitfaden zufolge ermöglichte die Ausnutzung von CVE-2026-20127, dem SD-WAN-Management- und -Steuerungssystem einen betrügerischen Peer hinzuzufügen — einen vom Angreifer kontrollierten, unautorisierten, nun aber als vertrauenswürdig eingestuften Peer im Netzwerkmanagementsystem. Über den eingebauten Update-Mechanismus stufte der Angreifer einen vSmart-Controller auf eine ältere Version mit bekannten Schwachstellen zur lokalen Rechteausweitung herab, darunter CVE-2022-20775. Nach dem Herabstufen nutzte er diese Lücke aus und legte lokale Konten an, um sich dauerhaft einzunisten. Dafür kam laut Leitfaden vermutlich ein öffentlich verfügbarer Proof-of-Concept-Exploit zum Einsatz, um Befehle als Root auszuführen.

Scott Caveza, Senior Staff Research Engineer bei Tenable, wies in einem Blogbeitrag darauf hin, dass Cisco-Schwachstellen ein beliebtes Ziel staatlich unterstützter Gruppen seien. Auch Salt Typhoon und Volt Typhoon seien für die Ausnutzung von Cisco-Geräten bekannt, weshalb umgehendes Handeln zur Behebung dieser Lücken geboten sei. Cisco Talos ordnete den Vorfall in ein größeres Muster ein: Die versuchte Ausnutzung deute auf einen anhaltenden Trend hin, bei dem Angreifer Netzwerk-Edge-Geräte ins Visier nehmen, um sich dauerhaft Zugang zu hochwertigen Organisationen einschließlich kritischer Infrastruktur zu verschaffen.

Cisco fordert Kunden nachdrücklich auf, ihre Catalyst SD-WAN Controller schnellstmöglich auf eine korrigierte Version zu aktualisieren und den Zugriff aus ungesicherten Netzen wie dem öffentlichen Internet zu beschränken. Zusätzlich empfiehlt das Unternehmen, den HTTP-Zugang zum Administrationsportal der Catalyst-SD-WAN-Manager-Weboberfläche zu deaktivieren und das Standard-Administratorpasswort zu ändern. Zur Erkennung möglicher Kompromittierungen raten die Nachrichtendienste, die Controller auf betrügerische Peers, Versions-Herabstufungen und unerwartete Neustarts zu prüfen sowie Firewalls, zentrale Protokollierung und die “Golden-Star”-Version der Software einzusetzen.