Cisco warnt vor kritischer Zero-Day-Lücke in SD-WAN-Systemen

Ein neuer Zero-Day-Angriff auf Cisco-Systeme sorgt für Aufsehen: Eine kritische Sicherheitslücke in den Cisco Catalyst SD-WAN Controllern und Managern wird derzeit aktiv ausgenutzt. Die Schwachstelle mit der Bezeichnung CVE-2026-20182 ermöglicht es Angreifern, sich als vertrauenswürdige Netzwerkrouter auszugeben und administrative Zugriffsrechte zu erlangen. Die Bewertung nach dem Common Vulnerability Scoring System (CVSS) liegt bei der maximalen Stufe 10 – ein „Master Key“ für Cyberkriminelle.

Ursprung und Ausmaß der Bedrohung

Die Sicherheitslücke wurde von Rapid7 entdeckt und am 9. März an Cisco gemeldet. Das Unternehmen bestätigte, dass die Schwachstelle bereits seit Anfang des Monats in begrenztem Umfang ausgenutzt wird. Cisco veröffentlichte am Donnerstag ein Sicherheitsupdate und warnte vor einer anhaltenden Kampagne der Bedrohungsgruppe UAT-8616.

Douglas McKee, Director of Vulnerability Intelligence bei Rapid7, beschreibt die Lücke als „cybersecurity-Version eines Jedi-Mind-Tricks“: Angreifer können sich als vertrauenswürdige Netzwerkkomponente ausgeben und so höchste administrative Rechte erlangen, ohne dass das System dies ausreichend überprüft.

Verbindung zu früheren Angriffen

Cisco Talos ordnet die aktuellen Angriffe derselben Gruppe zu, die bereits in den letzten drei Jahren zwei weitere Zero-Day-Lücken in den Netzwerk-Edge-Systemen des Herstellers ausgenutzt haben soll. Diese Aktivitäten wurden erst im Februar dieses Jahres entdeckt und gemeldet.

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat die neue Schwachstelle bereits in ihren Katalog bekannter, ausgenutzter Sicherheitslücken aufgenommen. Zudem warnt Cisco Talos, dass neben UAT-8616 mindestens zehn weitere Bedrohungsgruppen mindestens drei ungepatchte Schwachstellen in der Cisco Catalyst SD-WAN Infrastructure kombinieren und so eine weit verbreitete Ausnutzung in der Wildnis erreichen.

Empfehlungen und Maßnahmen

Cisco rät allen Kunden dringend, die verfügbaren Sicherheitsupdates zu installieren und die Anweisungen in den offiziellen Sicherheitshinweisen zu befolgen. Ein Unternehmenssprecher betonte:

„Wir empfehlen Kunden dringend, die verfügbaren korrigierten Softwareversionen zu installieren und den Anweisungen in den Sicherheitshinweisen sowie im Cisco Talos-Blog zu folgen.“

Die Sicherheitslücke wurde entdeckt, während Rapid7 eine andere Zero-Day-Schwachstelle – CVE-2026-20127 – untersuchte, die bereits Ende 2025 von den Five Eyes als aktiv ausgenutzt bestätigt wurde. Trotz der Entdeckung dauerte es mindestens zwei Monate, bis Cisco die Schwachstelle öffentlich machte und ein Patch veröffentlichte. Diese Verzögerung wirft Fragen nach den Ursachen und Motiven der Angreifer auf, die Cisco bisher nicht beantwortet hat.

Hintergrund: Cisco im Fokus von Cyberangriffen

Cisco steht seit Februar dieses Jahres unter massivem Druck: Innerhalb von weniger als drei Monaten hat die CISA sieben Sicherheitslücken in Cisco SD-WANs und Firewalls in ihren Katalog aufgenommen. Das Unternehmen gehört damit zu den am stärksten betroffenen Sicherheitsanbietern, obwohl auch andere Hersteller vermehrt mit Angriffen auf ihre Kunden konfrontiert sind.