Notfall-Patch: CVE-2026-20127 in Cisco Catalyst SD-WAN wird aktiv gegen kritische Infrastrukturen ausgenutzt
Am 25. Februar 2026 wurde eine neue kritische CVE-Sicherheitslücke veröffentlicht, die Cisco Catalyst SD-WAN betrifft, und in die Liste der bekannten Sicherheitslücken (KEV) der CISA aufgenommen. CVE-2026-20127 (CVSS 10) ermöglicht es nicht authentifizierten Angreifenden, aus der Ferne Adminrechte auf betroffenen Geräten zu erlangen. Die Schwachstelle wird als Authentifizierungsumgehung [CWE-287] klassifiziert, die durch einen fehlerhaften Peering-Authentifizierungsmechanismus verursacht wird. CVE-2022-20775 (CVSS 7.8), veröffentlicht im Jahr 2022, wurde ebenfalls am 25. Februar zur CISA KEV hinzugefügt, da sie in denselben laufenden Kampagnen ausgenutzt wurde. Globale Sicherheitsteams müssen dringend Patches installieren.
Der OPENVAS ENTERPRISE FEED von Greenbone umfasst Remote-Banner-Prüfungen sowohl für den Cisco Catalyst SD-WAN Controller [1] als auch für den Cisco Catalyst SD-WAN Manager [2], sodass Unternehmen betroffene Geräte in ihren Netzwerken erkennen können. Verteidigungsteams können das Flaggschiffprodukt OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.
Die Risikolandschaft für CVE-2026-20127 und Cisco Catalyst SD-WAN verstehen
Das Australian Cyber Security Centre (ACSC) gab zuerst Meldung von CVE-2026-20127 und deren aktiver Ausnutzung, die vermutlich im Jahr 2023 begonnen hat. Eine vollständige Ursachenanalyse wurde veröffentlicht, aber es sind keine Proof-of-Concept-Exploits (PoC) öffentlich verfügbar und es wurden bisher keine Ransomware-Angriffe gemeldet. Weltweit wurden zahlreiche nationale CERT-Warnungen herausgegeben [1][2][3][4][5][6][7][8][9][10][11][12][13].
CVE-2026-20127 wurde unmittelbar nach der Veröffentlichung in die KEV-Liste der CISA aufgenommen, zusammen mit einer Notfallrichtlinie (ED 26-03), die US-Bundesbehörden verpflichtet, innerhalb von zwei Tagen eine Bewertung der Sicherheitsverletzung, eine forensische Datenerfassung und Maßnahmen zur Schadensbegrenzung durchzuführen. Berichten zufolge wurden hochwertige und kritische Infrastruktursektoren ins Visier genommen, aber konkrete Opfer wurden nicht identifiziert.
Zusammen mit den oben beschriebenen aktiv ausgenutzten CVEs veröffentlichte Cisco am selben Tag eine zweite Sicherheitswarnung, in der fünf weitere Schwachstellen offengelegt wurden, die ebenfalls Catalyst SD-WAN betreffen. Die schwerwiegendste dieser Schwachstellen, CVE-2026-20129 (CVSS 9.8), ermöglicht es nicht authentifizierten Angreifenden aus der Ferne, sich als User mit der Rolle „netadmin” Zugang zu verschaffen. Eine weitere Schwachstelle, CVE-2026-20126 (CVSS 8.8), ermöglicht es einem User mit geringen Berechtigungen, Root-Rechte auf dem zugrunde liegenden Betriebssystem zu erlangen.
Cisco Catalyst SD-WAN ist eine vollständige softwaredefinierte Wide Area Network (SD-WAN)-Lösung. Die Plattform verwaltet und automatisiert zentral, wie die physischen Standorte eines Unternehmens miteinander verbunden sind. Catalyst SD-WAN unterstützt mehrere WAN-Transportprotokolle, darunter MPLS, Breitband-Internet und mobiles LTE/5G. CVE-2026-20127 betrifft sowohl den Catalyst SD-WAN Controller, die Kontrollkomponente, die Routing- und Richtlinieninformationen verteilt, um den Datenverkehr über das Fabric zu leiten, als auch den Catalyst SD-WAN Manager, die Plattform, die zur zentralen Konfiguration, Bereitstellung und Überwachung des Betriebs eines SD-WAN verwendet wird.
Exploit-Kampagnen unter Ausnutzung von CVE-2026-20127 und CVE-2022-20775
Die Cisco Talos Threat Intelligence Unit hat einen Blogbeitrag veröffentlicht, in dem sie die aktiven Exploits eines ansonsten unbekannten Angreifers mit dem Namen UAT-8616 beschreibt. Bei den beobachteten Angriffen wurde CVE-2026-20127 verwendet, um sich initial Zugang zu verschaffen. Anschließend downgradeten die Angreifenden die Software des kompromittierten Geräts, um CVE-2022-20775 auszunutzen und ihre Berechtigungen auf Root-Ebene zu erweitern. Sicherheitslücken in Edge-Netzwerkdiensten erfordern in der Regel dringende Maßnahmen. Im Fall von CVE-2026-20127 sind öffentlich zugängliche SD-WAN Catalyst Controller-Systeme ohne strengen Firewall-Schutz für den NETCONF-Dienst (TCP/830) einem kritischen Risiko ausgesetzt.
Die beiden CVEs, die bei den laufenden Angriffen eine Rolle spielen, werden im Folgenden beschrieben:
- CVE-2026-20127 (CVSS 10): Eine Authentifizierungsumgehungsschwachstelle [CWE-287] im Peering-Authentifizierungsmechanismus des Cisco Catalyst SD-WAN Controllers und des Cisco Catalyst SD-WAN Managers kann ausgenutzt werden, um ohne Authentifizierung aus der Ferne Adminrechte zu erlangen. Die Ausnutzung ist möglich, indem böswillig gestaltete Anfragen an ein nicht gepatchtes System gesendet werden. Durch die Ausnutzung können sich Angreifende als nicht-root-User mit hohen Berechtigungen beim Catalyst SD-WAN Controller anmelden und auf NETCONF zugreifen, um die Netzwerkkonfigurationseinstellungen für die SD-WAN-Struktur zu manipulieren.
- CVE-2022-20775 (CVSS 7.8): Ein authentifizierter lokaler Angreifer kann aufgrund einer Path-Traversal-Sicherheitslücke [CWE-22][CWE-25] in der Befehlszeilenschnittstelle (CLI) der Cisco Catalyst SD-WAN-Software erhöhte Berechtigungen erlangen. Durch Ausnutzung dieser Schwachstelle kann ein Angreifer mit geringen Berechtigungen beliebige Befehle als Root-User ausführen. Cisco hat Software-Updates veröffentlicht, die diese Schwachstelle beheben. Weitere Informationen finden Sie in der offiziellen Sicherheitsempfehlung des Herstellers.
Nachdem sie sich über den NETCONF-Remote-Dienst [T1133] ersten Zugriff verschafft hatten, wurde beobachtet, wie Angreifer gefälschte lokale Konten [T1136.001] erstellten, Root-SSH-Schlüssel für Persistenz hinzufügten [T1098.004], sich über NETCONF auf Port 830 und SSH [T1021] seitlich bewegten und versuchten, eine Entdeckung zu vermeiden, indem sie Protokolle löschten [T1070.002] und Shell-Befehlsverläufe löschten [T1070.003]. Laut ACSC erweiterten die Angreifenden ihre Rechte auf Root-Benutzerrechte, indem sie die Software herunterstuften, um CVE-2022-20775 [T1068] auszunutzen. Nachdem sie sich Root-Zugriff verschafft hatten, setzten die Akteure die Software wieder auf ihre ursprüngliche Version zurück.
Minderung des Risikos von CVE-2026-20127
Cisco berichtet, dass es keine Workarounds gibt, aber Software-Updates verfügbar sind, um CVE-2026-20127 zu mindern. Nutzende müssen ihre Instanz aktualisieren, um vollständigen Schutz zu erhalten. Eine Upgrade-Matrix hilft dabei, den richtigen Upgrade-Pfad schnell zu identifizieren, und Cisco hat außerdem einen umfassenden Leitfaden zur Behebung des Problems herausgegeben. Unternehmen, die möglicherweise betroffen sind, sollten außerdem umgehend eine Bewertung der Kompromittierung durchführen. Ein detaillierter Leitfaden zur IoC-Suche wurde vom australischen NCSC veröffentlicht und von den nationalen Sicherheitsbehörden der Five Eyes mitunterzeichnet.
Die betroffenen Versionen von Cisco Catalyst SD-WAN sind in der folgenden Tabelle aufgeführt:
Die folgenden Bereitstellungstypen sind für alle Konfigurationen betroffen:
- On-Prem-Bereitstellung
- Cisco Hosted SD-WAN Cloud
- Cisco Hosted SD-WAN Cloud – Cisco Managed
- Cisco Hosted SD-WAN Cloud – FedRAMP-Umgebung
Der OPENVAS ENTERPRISE FEED von Greenbone umfasst Remote-Banner-Prüfungen sowohl für den Cisco Catalyst SD-WAN Controller [1] als auch für den Cisco Catalyst SD-WAN Manager [2], sodass Unternehmen betroffene Geräte in ihren Netzwerken erkennen können.
Zusammenfassung
CVE-2026-20127 ist eine CVSS 10-Authentifizierungsumgehungsschwachstelle, die Cisco Catalyst SD-WAN Controller und Manager betrifft. Ihre aktive Ausnutzung gegen hochwertige und kritische Infrastrukturziele stellt ein kritisches Risiko für Nutzende weltweit dar. Es gibt keine Workarounds. Verteidigungsteams sollten dringend Patches installieren und außerdem eine sofortige Kompromittierungsbewertung gemäß den Abhilfemaßnahmen von Cisco und den IoC-Suchrichtlinien der Five Eyes-Sicherheitsbehörden durchführen.
Der OPENVAS ENTERPRISE FEED von Greenbone umfasst Remote-Banner-Prüfungen sowohl für den Cisco Catalyst SD-WAN Controller [1] als auch für den Cisco Catalyst SD-WAN Manager [2], sodass Unternehmen betroffene Geräte in ihren Netzwerken erkennen können. Sicherheitsverantwortliche, die nach Erkennungs- und Schutzmöglichkeiten suchen, können das Flaggschiffprodukt OPENVAS BASIC von Greenbone kostenlos testen, einschließlich einer zweiwöchigen Testversion des OPENVAS ENTERPRISE FEED.
Josephs Karriere im Bereich IT und Cybersicherheit ist von Vielfalt und Leidenschaft geprägt. Sie begann in den späten 1980er Jahren mit der Arbeit an einem IBM PS/2, der Montage von PCs und der Programmierung in C++.
Er studierte Computer- und Systemtechnik, Anthropologie und erwarb einen MBA mit Schwerpunkt Technologieprognose.
Josephs Fachgebiete umfassen Datenanalyse, Softwareentwicklung und insbesondere IT-Sicherheit in Unternehmen. Er ist Experte für Schwachstellenmanagement, Verschlüsselung und Penetrationstests.
