KW 20/2026: Cisco SD-WAN unter Beschuss: Authentifizierungslücken und anhaltende Ransomware-Welle

Überblick und Einordnung der Woche

Die zurückliegende Woche fällt bei den neu bekannt gewordenen, aktiv ausgenutzten Schwachstellen etwas ruhiger aus als zuletzt – ein gewisses Aufatmen also, das jedoch nicht über die Brisanz der wenigen, dafür gravierenden Fälle hinwegtäuschen sollte. Im Zentrum des Geschehens stand erneut zentrale Netzwerk-Infrastruktur: Lücken in SD-WAN- und Firewall-Plattformen, die unmittelbar an der Außengrenze von Unternehmensnetzen sitzen und damit besonders attraktive Ziele für Angreifer bilden. Wer hier eine Schwäche findet, steht oft schon mitten im Netz.

Parallel dazu zeigte sich die Ransomware-Lage unverändert angespannt. Mehrere Gruppen blieben sichtbar aktiv und setzten ihre Kampagnen fort, ohne dass eine spürbare Entspannung erkennbar gewesen wäre. Bemerkenswert in diesem Zusammenhang: Auch Einrichtungen im deutschsprachigen Raum waren von den Vorfällen dieser Woche betroffen. Das unterstreicht, dass die beobachteten Entwicklungen keine abstrakte, ferne Bedrohung darstellen, sondern unmittelbar auf hiesige Organisationen durchschlagen.

In der Gesamtschau ergibt sich damit ein zweigeteiltes Bild: Auf der einen Seite eine geringere Zahl frischer Exploit-Fälle, auf der anderen Seite eine weiterhin hohe Schlagzahl bei den Angreifern selbst – sei es über kritische Infrastrukturlücken oder über die unvermindert laufenden Erpressungskampagnen. Die Tendenz ist daher weniger als Entwarnung denn als kurzes Durchatmen zu lesen.

Schwachstellen und ausgenutzte Sicherheitslücken

Den klaren Schwerpunkt der Woche bildete eine kritische Authentifizierungs-Umgehung in Ciscos Catalyst-SD-WAN-Umgebung (CVE-2026-20182). Betroffen sind die Controller- und Manager-Komponenten der Plattform; die Lücke erlaubt es einem nicht authentifizierten, aus der Ferne agierenden Angreifer, die vorgesehene Anmeldung zu umgehen. Eine solche Schwachstelle in der Steuerungsebene eines SD-WAN-Verbunds ist besonders heikel, weil der Manager als zentrale Schaltstelle für die Konfiguration und Verwaltung des gesamten überlagerten Netzes dient. Die Höchstwertung, mit der diese Lücke versehen wurde, spiegelt genau dieses Risiko wider – und sie wird bereits aktiv ausgenutzt. Die Aufnahme in den Katalog bekannter ausgenutzter Schwachstellen durch die zuständige US-Behörde unterstreicht die Dringlichkeit, mit der Betreiber hier reagieren müssen.

Bemerkenswert ist dabei der Kontext: Es handelt sich um einen weiteren in einer ganzen Reihe von ausgenutzten SD-WAN-Zero-Day-Lücken, mit denen Cisco in diesem Jahr bereits konfrontiert war. Dieses Muster deutet darauf hin, dass die Angreiferseite gezielt und systematisch nach Schwächen in dieser Produktfamilie sucht – und fündig wird. Für betroffene Organisationen bedeutet das, dass das einmalige Einspielen eines Patches nicht ausreicht; vielmehr ist eine kontinuierliche Wachsamkeit gegenüber dieser Plattform geboten.

Neben der SD-WAN-Lücke rückte eine kritische Schwachstelle in Palo Alto Networks’ PAN-OS in den Fokus (CVE-2026-0300). Auch sie steht aktiv unter Angriff, und der Hersteller hat erste Korrekturen veröffentlicht. Dass mit Cisco und Palo Alto Networks zwei der wichtigsten Anbieter von Perimeter- und Netzwerksicherheitslösungen zugleich mit aktiv ausgenutzten Lücken zu kämpfen haben, ist die eigentliche Botschaft dieser Woche. Es trifft ausgerechnet jene Geräteklasse, die eigentlich schützen soll – und die bei einer erfolgreichen Kompromittierung den Angreifern eine ideale Ausgangsbasis im Netz verschafft.

Komplettiert wird das Bild durch eine Schwachstelle in Microsofts Umfeld: eine Cross-Site-Scripting-Lücke im Exchange Server (CVE-2026-42897), die bei der Erzeugung von Webseiten im Outlook Web Access auftritt. Cross-Site-Scripting in einer Webmail-Oberfläche ist deshalb gefährlich, weil sich darüber Schadcode im Kontext angemeldeter Nutzer ausführen lässt – ein Einfallstor, das in Verbindung mit weiteren Schwächen schnell eskalieren kann. In der Summe zeigt die Woche damit ein wiederkehrendes Thema: Angegriffen wird dort, wo viele Organisationen ihre exponierten, von außen erreichbaren Dienste betreiben.

Für Verteidiger ergibt sich daraus eine klare Priorisierung. Die genannten Lücken in der Netzwerk- und Kommunikationsinfrastruktur gehören an die Spitze der Patch-Liste, begleitet von einer genauen Prüfung, ob die betroffenen Systeme womöglich bereits kompromittiert wurden. Gerade bei Authentifizierungs-Umgehungen reicht das nachträgliche Schließen der Lücke nicht aus, wenn Angreifer den Zugang zuvor bereits genutzt haben.

Ransomware-Lage

Die Erpressungssoftware-Szene blieb in dieser Woche unverändert lebhaft. Aus dem Kreis der aktivsten Akteure stachen unter anderem Qilin, TheGentlemen, Akira, DragonForce, INC Ransom, CMDOrganization und CoinbaseCartel hervor – wobei diese Aufzählung eine Auswahl darstellt und nicht das gesamte Spektrum der beobachteten Aktivität abbildet. Auffällig ist die Mischung aus etablierten, seit längerem bekannten Gruppen und Akteuren, die in jüngerer Zeit verstärkt in Erscheinung treten. Diese Gleichzeitigkeit von erfahrenen und aufstrebenden Gruppen ist charakteristisch für ein Ökosystem, in dem sich Strukturen ständig neu formieren.

Die betroffenen Organisationen verteilen sich über verschiedene Branchen und Regionen, wobei – wie eingangs erwähnt – auch Einrichtungen im deutschsprachigen Raum unter den Geschädigten waren. Aus Rücksicht auf die Betroffenen werden hier keine Namen genannt; entscheidend ist ohnehin das übergreifende Muster. Und dieses Muster bleibt sich treu: Die Gruppen setzen weiterhin auf die Kombination aus Verschlüsselung und vorheriger Datenexfiltration, um den Druck auf ihre Opfer zu erhöhen. Die Drohung mit der Veröffentlichung gestohlener Daten ist längst zum festen Bestandteil des Geschäftsmodells geworden.

Die schiere Breite der aktiven Akteure macht deutlich, dass es nicht ausreicht, sich auf einzelne, prominente Namen zu konzentrieren. Vielmehr bestätigt sich die Erfahrung, dass die Verteidigung gegen Ransomware grundsätzlich aufgestellt sein muss – über robuste, getrennt gehaltene Sicherungen, eine konsequente Segmentierung der Netze und eine schnelle Erkennung verdächtiger Aktivitäten. Gerade die in diesem Bericht behandelten Infrastrukturlücken liefern den Erpressergruppen potenziell genau jene Zugänge, die sie für den initialen Einbruch benötigen. Der Bogen zwischen ausgenutzten Schwachstellen und Ransomware-Vorfällen ist damit kein theoretischer, sondern ein höchst praktischer.

Eine spürbare Beruhigung der Lage ist nicht erkennbar. Die anhaltende Aktivität der genannten Gruppen deutet darauf hin, dass der Druck auf Organisationen aller Größenordnungen hoch bleibt – und dass die kommenden Wochen kaum eine grundlegende Trendwende bringen dürften, solange exponierte Systeme verwundbar bleiben.

Bemerkenswerte Vorfälle und Themen der Woche

Die Berichterstattung der Woche wurde inhaltlich klar von der Cisco-SD-WAN-Problematik dominiert. Im Mittelpunkt stand die Meldung, dass Cisco mit der jüngsten ausgenutzten SD-WAN-Zero-Day-Lücke eine ganze Serie solcher Vorfälle in diesem Jahr fortsetzt – ein Umstand, der die Aufmerksamkeit der Fachöffentlichkeit zu Recht auf sich zog. Die kritische Authentifizierungslücke mit Höchstwertung, die aktiv ausgenutzt wird, war dabei der zentrale Aufhänger und zog sich als roter Faden durch mehrere Beiträge.

Flankiert wurde dies von der Nachricht, dass die zuständige US-Behörde die kritische Cisco-SD-WAN-Lücke CVE-2026-20182 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen hat. Solche behördlichen Einstufungen haben über den unmittelbaren Anwenderkreis hinaus Signalwirkung: Sie machen aus einer technischen Meldung eine handlungsleitende Vorgabe und erhöhen den Druck, zeitnah zu reagieren. Für viele Organisationen ist die Aufnahme in einen derartigen Katalog ein deutlicheres Alarmsignal als die reine Veröffentlichung eines Hinweises durch den Hersteller.

Ein weiteres prägendes Thema war die kritische PAN-OS-Lücke bei Palo Alto Networks, für die der Hersteller erste Fixes für CVE-2026-0300 veröffentlicht hat, während die Schwachstelle bereits unter Angriff steht. Dass zwei Schwergewichte der Netzwerksicherheit in derselben Woche im Mittelpunkt der Angriffe standen, verlieh der Berichterstattung eine zusätzliche Dringlichkeit und unterstrich den übergeordneten Befund: Die Perimeter-Infrastruktur selbst ist zum bevorzugten Angriffsziel geworden.

In der Zusammenschau zeichnen die Themen der Woche ein konsistentes Bild. Die dominierenden Schlagzeilen drehten sich um genau jene Lücken, die auch in der Schwachstellen- und Ransomware-Betrachtung dieses Berichts den Ton angaben. Das verstärkt die zentrale Empfehlung: Betreiber von SD-WAN-, Firewall- und Kommunikationsinfrastruktur sollten die verfügbaren Korrekturen mit Priorität einspielen und gleichzeitig prüfen, ob ihre Systeme bereits ins Visier geraten sind. Das kurze Durchatmen bei der Zahl neuer Exploit-Fälle sollte nicht über die unverändert ernste Gesamtlage hinwegtäuschen.