CISA warnt vor aktiver Ausnutzung von Cisco Catalyst SD-WAN-Schwachstellen

Foto des Autors

CyberSecureFox Editorial Team

Am 14. Mai 2026 hat CISA die Schwachstelle CVE-2026-20182 in den Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen und für die zivilen Bundesbehörden der US-Regierung (FCEB) eine Frist zur Behebung bis zum 17. Mai 2026 gesetzt – also nur drei Tage. Die Schwachstelle betrifft den Cisco Catalyst SD-WAN Controller und stellt einen Authentication Bypass dar, der einem nicht authentifizierten, entfernten Angreifer ermöglicht, Administratorrechte auf dem Zielsystem zu erlangen. Nach Angaben von Cisco Talos wird die Schwachstelle bereits in realen Angriffen von mindestens einer Gruppe aktiv ausgenutzt; zusammen mit zuvor offengelegten SD-WAN-Schwachstellen ergibt sich eine groß angelegte Kampagne mit der Beteiligung von mindestens zehn unterschiedlichen Bedrohungsclustern.

Technische Details der Schwachstelle

Laut Beschreibung von CISA ist CVE-2026-20182 eine Schwachstelle zum Umgehen der Authentifizierung (Authentication Bypass) in Cisco Catalyst SD-WAN Controller und Manager. Sie ermöglicht es einem nicht authentifizierten, entfernten Angreifer, die Authentifizierungsmechanismen vollständig zu umgehen und administrativen Zugriff auf das verwundbare System zu erhalten. Der Exploit-Status wird durch die Aufnahme in den CISA-KEV-Katalog bestätigt.

Betroffene Produkte:

  • Cisco Catalyst SD-WAN Controller
  • Cisco Catalyst SD-WAN Manager
  • vManage

Neben CVE-2026-20182 befinden sich drei weitere verwandte Schwachstellen in aktiver Ausnutzung: CVE-2026-20133, CVE-2026-20128 und CVE-2026-20122. Nach Angaben der Forschenden ermöglicht die Kombination dieser drei Schwachstellen in einer Angriffskette einem nicht authentifizierten, entfernten Angreifer den unautorisierten Zugriff auf das Gerät. Es wird berichtet, dass sie bereits im vergangenen Monat in den KEV-Katalog aufgenommen wurden.

Attribution und Bedrohungskontext

Nach Informationen von Cisco Talos wird die aktive Ausnutzung von CVE-2026-20182 mit hoher Sicherheit einer Gruppe zugeschrieben, die unter der Bezeichnung UAT-8616 verfolgt wird. Derselbe Cluster wurde zuvor mit der Ausnutzung der Schwachstelle CVE-2026-20127 für unautorisierten Zugriff auf SD-WAN-Systeme in Verbindung gebracht.

Die Forschenden von Cisco Talos stellen fest, dass die Gruppe UAT-8616 nach erfolgreicher Ausnutzung von CVE-2026-20182 ähnliche Aktivitäten ausführte wie bei der Ausnutzung von CVE-2026-20127: Versuche, SSH-Schlüssel hinzuzufügen, Änderungen von NETCONF-Konfigurationen und Privilegieneskalation bis zur root-Ebene. Vermutlich überschneidet sich die Infrastruktur von UAT-8616 mit den sogenannten Operational Relay Box (ORB)-Netzwerken. Es ist zu beachten, dass diese Attribution auf Daten einer einzigen Forschungsquelle basiert und nicht unabhängig durch CISA bestätigt wurde.

Ausmaß der Kampagne: 10 Exploit-Cluster

Seit März 2026 nutzen nach Angaben von Cisco Talos mindestens 10 verschiedene Bedrohungscluster die Kette aus CVE-2026-20133, CVE-2026-20128 und CVE-2026-20122 aus, wobei öffentlich verfügbarer Exploit-Code eingesetzt wird. Die Angreifenden installieren Webshells auf kompromittierten Systemen, um beliebige bash-Kommandos auszuführen. Eine dieser auf JSP basierenden Webshells erhielt den Namen XenShell – nach dem PoC-Code, der von ZeroZenX Labs veröffentlicht wurde.

Die Vielfalt der Werkzeuge und Ziele der Cluster zeigt, wie breit das Spektrum der Angreifenden ist:

  • Cluster 1 und 4 (seit Anfang März 2026) – Bereitstellung der Webshell Godzilla und ihrer Varianten
  • Cluster 2 und 3 (seit Anfang März 2026) – Bereitstellung der Webshell Behinder, XenShell und deren Kombinationen
  • Cluster 5 (seit 13. März 2026) – schädlicher Agent, kompiliert auf Basis des Penetration-Testing-Frameworks AdaptixC2
  • Cluster 6 (seit 5. März 2026) – Command-and-Control-Framework Sliver
  • Cluster 7 und 9 (seit Mitte/Ende März 2026) – Kryptominer XMRig; Cluster 9 nutzt zusätzlich das Tunneling-Werkzeug gsocket
  • Cluster 8 (seit 10. März 2026) – Scan-Tool KScan und eine Backdoor in der Sprache Nim, vermutlich basierend auf NimPlant, mit Funktionen für Dateioperationen, die Ausführung von bash-Befehlen und das Sammeln von Systeminformationen
  • Cluster 10 (seit 13. März 2026) – Credential Stealer, der auf Hash-Dumps von Administratoren, Fragmente von JSON Web Token (JWT)-Schlüsseln zur REST-API-Authentifizierung und AWS-Zugangsdaten für vManage abzielt

Besonders beunruhigend ist Cluster 10: Der Diebstahl von JWT-Schlüsseln und AWS-Zugangsdaten für vManage bedeutet, dass die Kompromittierung des SD-WAN-Controllers zum Einstiegspunkt für laterale Bewegungen in die Cloud-Infrastruktur einer Organisation werden kann.

Bewertung der Auswirkungen

Cisco Catalyst SD-WAN ist eine Plattform, die in Unternehmens- und Regierungsnetzen weit verbreitet für die Verwaltung verteilter Infrastrukturen eingesetzt wird. Die Erlangung administrativen Zugriffs auf den SD-WAN-Controller verschafft einem Angreifer de facto die Kontrolle über die Traffic-Routing, Sicherheitsrichtlinien und die Konfiguration der gesamten WAN-Infrastruktur einer Organisation.

Das Vorhandensein von 10 unabhängigen Exploit-Clustern, die seit Anfang März 2026 aktiv sind, weist darauf hin, dass die Schwachstellen bereits seit mehr als zwei Monaten massenhaft ausgenutzt werden. Das Spektrum der Bedrohungen reicht von Spionage (Diebstahl von Zugangsdaten, Installation von Backdoors) bis hin zu finanziell motivierten Angriffen (Kryptomining), was auf die Beteiligung sowohl von APT-Gruppen als auch weniger versierten Angreifenden hindeutet, die öffentliche Exploits nutzen.

Praktische Empfehlungen

  • Wenden Sie umgehend Patches an für CVE-2026-20182, CVE-2026-20133, CVE-2026-20128 und CVE-2026-20122 entsprechend den Empfehlungen von Cisco. Die CISA-Deadline für FCEB ist der 17. Mai 2026, doch für alle Organisationen sollte die Priorität ähnlich hoch sein
  • Führen Sie einen Audit kompromittierter Systeme durch: Überprüfen Sie das Vorhandensein unautorisierter SSH-Schlüssel, Änderungen in NETCONF-Konfigurationen, JSP-Dateien von Webshells (Godzilla, Behinder, XenShell) sowie Anzeichen einer Privilegieneskalation bis root
  • Überprüfen Sie Zugangsdaten: Rotieren Sie Administratorpasswörter, JWT-Schlüssel der REST API und AWS-Zugangsdaten im Zusammenhang mit vManage, insbesondere wenn Patches nicht vor Mai 2026 installiert wurden
  • Beschränken Sie den Netzwerkzugriff auf die Management-Interfaces von SD-WAN Controller und Manager – sie sollten nicht aus dem Internet erreichbar sein
  • Monitoring: Überwachen Sie die Ausführung von XMRig-Prozessen, Verbindungen zu Infrastrukturen von Sliver und AdaptixC2 sowie die Aktivität der Tools KScan und gsocket im Netzwerk

Die dreitägige CISA-Deadline ist ein beispiellos kurzer Zeitraum und spiegelt die Kritikalität der Situation wider. Organisationen, die Cisco Catalyst SD-WAN einsetzen, sollten die Installation der Patches als Notfallmaßnahme und nicht als reguläres Update betrachten und parallel dazu eine rückblickende Analyse auf mögliche Kompromittierungen ab März 2026 durchführen – angesichts der Tatsache, dass die Ausnutzung bereits seit mehr als zwei Monaten andauert, bedeutet das Fehlen eines Patches mit hoher Wahrscheinlichkeit, dass das System bereits kompromittiert ist.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen