Cisco SD-WAN: Kritische Zero-Day-Lücke seit 2023 aktiv ausgenutzt : Angreifer übernehmen Netzwerksteuerung und etablieren dauerhaften Zugriff

Eine Sicherheitslücke mit maximalem Schweregrad (CVSS score: 10.0) erschüttert derzeit Unternehmensnetzwerke weltweit. Die Schwachstelle CVE-2026-20127 im Cisco Catalyst SD-WAN Controller und im Cisco Catalyst SD-WAN Manager wird offenbar bereits seit dem Jahr 2023 aktiv ausgenutzt. Sicherheitsbehörden und Hersteller warnen vor gezielten Angriffen auf zentrale Steuerungssysteme moderner Netzwerkinfrastrukturen.

Authentifizierung ausgehebelt

Die Schwachstelle ermöglicht es, die Authentifizierung vollständig zu umgehen. Durch eine manipulierte Anfrage kann ein Angreifer Administratorrechte auf betroffenen Systemen erlangen. Cisco erklärt dazu: „Diese Schwachstelle besteht, weil der Peering-Authentifizierungsmechanismus in einem betroffenen System nicht ordnungsgemäß funktioniert.“

Im Erfolgsfall erhält der Angreifer Zugriff auf ein hochprivilegiertes internes Benutzerkonto. Über dieses Konto kann anschließend auf NETCONF zugegriffen und die gesamte SD-WAN-Netzwerkkonfiguration manipuliert werden. Besonders kritisch: Systeme mit Internetanbindung gelten als unmittelbar gefährdet.

„Cisco Catalyst SD-WAN Controller-Systeme, die mit dem Internet verbunden sind und über Ports verfügen, die mit dem Internet verbunden sind, sind einem Risiko ausgesetzt, kompromittiert zu werden“, warnt Cisco.

Mehrjährige Angriffskampagne

Entdeckt wurde die Schwachstelle vom Australian Cyber Security Centre (ASD-ACSC). Laut Analyse wird der Exploit bereits seit mehreren Jahren aktiv eingesetzt. Die Kampagne wird unter der Bezeichnung UAT-8616 verfolgt.

Nach Angaben der Behörde nutzen Angreifer eine besonders raffinierte Technik. „Die Schwachstelle ermöglichte es einem böswilligen Cyberakteur, einen betrügerischen Peer zu erstellen, der sich mit der Netzwerkmanagementebene oder Steuerungsebene des SD-WAN einer Organisation verband.“

Das gefälschte System erscheint dabei als legitime neue Komponente innerhalb der Infrastruktur und kann vertrauenswürdige Aktionen ausführen.

Angriffskette bis zum Root-Zugriff

Nach dem ersten erfolgreichen Eindringen gingen die Angreifer gezielt weiter vor. Sie nutzten den integrierten Update-Mechanismus der Plattform, um die Software zunächst auf eine ältere Version zurückzusetzen. Anschließend missbrauchten sie eine zweite Schwachstelle.

Dabei handelte es sich um CVE-2022-20775, einen Fehler zur Rechteausweitung in der Kommandozeile der SD-WAN-Software. Auf diesem Weg verschafften sich die Angreifer schließlich vollständigen Root-Zugriff auf das System.

Danach führten sie mehrere Schritte aus, um ihre Kontrolle auszubauen und unentdeckt zu bleiben:

• Erstellung lokaler Benutzerkonten, die bestehenden Konten zum Verwechseln ähnlich sahen
• Hinterlegen eines Secure Shell Protocol-Schlüssels für Root-Zugriff sowie Anpassung von Startskripten
• Nutzung des Network Configuration Protocol auf Port 830 und Secure Shell Protocol zur Kommunikation zwischen SD-WAN-Geräten
• Löschen von Protokollen, Befehlsverlauf und Netzwerkspuren, um das Eindringen zu verbergen

Sicherheitsforscher von Cisco Talos sehen darin ein klares Muster moderner Cyberoperationen. „Der versuchte Angriff deutet auf einen anhaltenden Trend hin, dass Cyber-Angreifer Netzwerk-Edge-Geräte ins Visier nehmen, um sich dauerhaft in hochwertigen Organisationen zu etablieren.“

Zahlreiche Bereitstellungen betroffen

Die Schwachstelle betrifft mehrere Betriebsmodelle der Plattform:

• On-Prem-Bereitstellung
• Cisco Hosted SD-WAN Cloud
• Cisco Hosted SD-WAN Cloud – Cisco Managed
• Cisco Hosted SD-WAN Cloud – FedRAMP-Umgebung

Administratoren sollten insbesondere Authentifizierungsprotokolle prüfen. Verdächtig sind Einträge mit „Accepted publickey for vmanage-admin“ von unbekannten Internetadressen.

Behörden ordnen Sofortmaßnahmen an

Die amerikanische Cybersicherheitsbehörde Cybersecurity and Infrastructure Security Agency (CISA) hat die Schwachstelle inzwischen in ihren Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen. Bundesbehörden wurden verpflichtet, Patches innerhalb von vierundzwanzig Stunden einzuspielen.

Die CISA hat zudem eine neue Notfallrichtlinie veröffentlicht: 26-03 „Schwachstellen in Cisco SD-WAN-Systemen mindern“. Darin werden Bundesbehörden verpflichtet, ihre SD-WAN-Geräte vollständig zu erfassen, Sicherheitsupdates einzuspielen und ihre Systeme auf mögliche Kompromittierungen zu überprüfen. Behörden müssen nun:

• ihre SD-WAN-Systeme inventarisieren
• Sicherheitsupdates installieren
• potenziell kompromittierte Systeme überprüfen

Dafür gelten strikte Fristen bis Ende März 2026.

Updates dringend empfohlen

Cisco hat die Schwachstelle inzwischen in mehreren Versionen von Cisco Catalyst SD-WAN behoben. Administratoren sollten prüfen, welche Version im Einsatz ist, und gegebenenfalls auf eine korrigierte Version aktualisieren:

• Alle Versionen vor 20.9.1 – Upgrade auf eine unterstützte, korrigierte Version erforderlich
• Version 20.9 – Update auf 20.9.8.2 (geplante Veröffentlichung am 27. Februar 2026)
• Version 20.11.1 – Update auf 20.12.6.1
• Version 20.12.5 – Update auf 20.12.5.3
• Version 20.12.6 – Update auf 20.12.6.1
• Version 20.13.1 – Update auf 20.15.4.2
• Version 20.14.1 – Update auf 20.15.4.2
• Version 20.15 – Update auf 20.15.4.2
• Version 20.16.1 – Update auf 20.18.2.1
• Version 20.18 – Update auf 20.18.2.1

Die Analyse der folgenden Protokolle kann Hinweise auf Angriffe liefern:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Der Fall ist ein weiteres Beispiel dafür, wie massiv Angreifer zentrale Netzwerkkomponenten ins Visier nehmen. Gerade SD-WAN-Steuerungssysteme gelten als besonders attraktive Ziele, da ein erfolgreicher Angriff direkten Einfluss auf die gesamte Infrastruktur ermöglicht.