Mastodon Mastodon Mastodon Mastodon

Angriffe auf Cisco Catalyst SD-WAN: Ausnutzung von CVE-2026-20245

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Die Schwachstelle CVE-2026-20245 (CVSS 7.8) in Cisco Catalyst SD-WAN wurde von einem unbekannten Angreifer mindestens zwei Monate vor der öffentlichen Offenlegung ausgenutzt, berichtet Mandiant (eine Einheit von Google Cloud). Ziel der Attacke war ein Telekommunikationsanbieter: Der Angreifer erhöhte die Privilegien eines kompromittierten Administratorkontos bis hin zu vollständigem root-Zugriff und setzte dabei fortgeschrittene Anti-Forensik-Methoden ein, um seine Spuren zu verwischen. Organisationen, die Cisco Catalyst SD-WAN einsetzen, müssen umgehend prüfen, ob Patches installiert sind, und ihre Systeme auf Anzeichen einer Kompromittierung auditieren.

Technische Anatomie der Schwachstelle

CVE-2026-20245 ist eine Schwachstelle, die lokales Ausführen beliebiger Befehle mit erhöhten Privilegien ermöglicht. Nach Angaben der Forschenden liegt die Ursache in unzureichender Validierung von Benutzereingaben: Ein authentifizierter Angreifer mit Privilegien auf netadmin-Ebene kann eine speziell präparierte Datei hochladen, was zur Ausführung von Befehlen mit erweiterten Rechten führt. Cisco hat die Ausnutzung dieser Schwachstelle bestätigt.

Zusätzlich zu CVE-2026-20245 wurden im Zuge der Untersuchung zwei weitere Schwachstellen zur Umgehung der Authentifizierung in Cisco Catalyst SD-WAN-Controllern identifiziert — CVE-2026-20127 und CVE-2026-20182, die zum Zeitpunkt der ersten Angriffswelle ebenfalls noch nicht veröffentlichte 0‑Day-Schwachstellen waren.

Chronologie und Angriffskette

Mandiant registrierte zwei getrennte Zeiträume unbefugter Aktivitäten. Ob zwischen ihnen ein Zusammenhang besteht und ob sie demselben Akteur zuzuordnen sind, ist derzeit nicht geklärt.

Erste Welle: Ende 2025 — Januar 2026

Während der ersten Aktivitätsphase sah sich das Opfer mit unautorisierten Peering-Verbindungen konfrontiert. Nach Einschätzung von Mandiant wurde für den Erstzugang mutmaßlich eine der beiden Schwachstellen zur Umgehung der Authentifizierung genutzt — CVE-2026-20127 oder CVE-2026-20182. Beide waren zu diesem Zeitpunkt öffentlich noch unbekannt.

Zweite Welle: März 2026

Die zweite Angriffswelle richtete sich gegen ein Gerät mit einer neueren Softwareversion, die bereits den Patch für CVE-2026-20127 enthielt. Cisco bestätigte, dass diese Verbindungen nicht CVE-2026-20182 ausnutzten, was die Frage nach der Methode des initialen Eindringens offenlässt.

Erst in der zweiten Welle kam CVE-2026-20245 als 0‑Day-Schwachstelle zum Einsatz. Die Angriffskette gestaltete sich wie folgt:

  1. Der Angreifer änderte die Standard-Administratorkennungen
  2. Lud die bösartige CSV-Datei (evil_tenant.csv) hoch, die CVE-2026-20245 ausnutzt
  3. Erhöhte die Privilegien und legte das versteckte Konto troot mit vollem root-Zugriff auf die Shell an
  4. Exfiltrierte die Konfiguration der SD-WAN-Fabric
  5. Setzte das Administratorpasswort auf den ursprünglichen Wert zurück, damit der legitime Administrator die Änderungen nicht bemerkt

Anti-Forensik als zentrales Merkmal

Ein charakteristisches Merkmal dieser Kampagne war der konsequente und methodische Ansatz zur Beseitigung von Spuren. Nach Angaben der Mandiant-Forscher Chester Sng, Pete Bunyakarn und Logesvaran Nadarajan löschte und stellte der Angreifer während des gesamten Eindringens gezielt modifizierte Konfigurationsdateien des Systems wieder her.

Zu den konkreten Maßnahmen zur Verschleierung gehörten:

  • Löschen sämtlicher im Verlauf des Angriffs erstellter Dateien
  • Rücksetzen von Konfigurationsänderungen auf den Ursprungszustand
  • Ausführen von Validierungsskripten, um das Fehlen von Kompromittierungsindikatoren zu bestätigen
  • Rücksetzen des Administratorpassworts auf den ursprünglichen Wert nach der Datenexfiltration

Dieses Niveau an operativer Sicherheit schränkt die Möglichkeiten der Verteidiger erheblich ein, das gesamte Ausmaß der Kompromittierung zu beurteilen, und zeugt von der hohen Qualifikation des Angreifers.

Strategischer Kontext: Periphere Geräte als blinder Fleck

Google betonte, dass dieser Vorfall einen anhaltenden Trend widerspiegelt: Angreifer wählen gezielt periphere Netzwerkgeräte — etwa SD-WAN-Controller — als Punkte für dauerhafte Präsenz. Die Gründe liegen auf der Hand: Diese Systeme unterstützen in der Regel keine EDR-Lösungen, verfügen nur über begrenzte Telemetrie für tiefgehende forensische Analysen und bieten zugleich Einblick in den internen Traffic der gesamten Netzwerk-Fabric.

Wie Charles Carmakal, CTO von Mandiant Consulting, hervorhob, zielen fortgeschrittene Angreifer weiterhin vorrangig auf Netzwerkgeräte und andere Systeme ab, die keine nativen Endpoint-Detection-and-Response-Funktionen bieten.

Für Telekommunikationsanbieter stellt eine Kompromittierung der SD-WAN-Infrastruktur eine kritische Bedrohung dar: Erlangt ein Angreifer die Kontrolle über den Fabric-Controller, erhält er potenziell Zugriff auf die Routing-Steuerung und die Verkehrssichtbarkeit zwischen sämtlichen Standorten der Organisation.

Empfehlungen zur Reaktion

  • Installieren Sie umgehend Patches für CVE-2026-20245, CVE-2026-20127 und CVE-2026-20182 auf allen betroffenen Cisco Catalyst SD-WAN-Geräten
  • Überprüfen Sie die Benutzerkonten auf den SD-WAN-Geräten: Das Vorhandensein des Kontos troot oder anderer ungewöhnlicher Einträge in /etc/passwd ist ein eindeutiger Kompromittierungsindikator
  • Führen Sie ein Audit der Peering-Verbindungen durch — unautorisierte Peering-Verbindungen zu SD-WAN-Controllern können auf die Ausnutzung von Schwachstellen zur Umgehung der Authentifizierung hinweisen
  • Analysieren Sie die Dateiupload-Protokolle auf CSV-Dateien mit untypischen Namen (insbesondere evil_tenant.csv)
  • Ändern Sie alle Zugangsdaten der SD-WAN-Administratoren, einschließlich Zertifikaten, insbesondere wenn die Geräte von außen erreichbar waren
  • Implementieren Sie zusätzliches Monitoring für periphere Netzwerkgeräte: Erfassung und zentrale Speicherung von Logs, Integritätsüberwachung von Konfigurationsdateien, Monitoring von Änderungen an Systemkonten

Dieser Vorfall zeigt, dass periphere Netzwerkgeräte für qualifizierte Angreifer weiterhin ein vorrangiges Ziel bleiben — gerade wegen des Mangels an Monitoring- und Erkennungsmöglichkeiten. Organisationen, die Cisco Catalyst SD-WAN betreiben, sollten nicht nur die verfügbaren Patches für die drei genannten CVEs installieren, sondern auch eine retrospektive Analyse der Aktivitäten auf den Controllern ab Ende 2025 durchführen, mit besonderem Augenmerk auf Kontoänderungen, untypische Peering-Verbindungen und Modifikationen von Konfigurationsdateien.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.