SD-WAN CVE-2026-20127 Sicherheitslücke
In Cisco Systems Cisco Catalyst SD-WAN Controller und Cisco Catalyst SD-WAN Manager wurde eine Sicherheitslücke mit maximalem Schweregrad (CVE-2026-20127, CVSS-Score: 10,0) identifiziert. Diese Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, die Authentifizierungskontrollen zu umgehen und administrative Zugriffsrechte zu erlangen, indem er eine speziell präparierte Anfrage an ein anfälliges System sendet.
Das Problem beruht auf einer Schwachstelle im Peering-Authentifizierungsmechanismus, die es Angreifern ermöglicht, sich als interner Benutzer mit hohen Berechtigungen (ohne Root-Rechte) anzumelden. Mit diesem Zugriff können Angreifer mit NETCONF-Diensten interagieren und SD-WAN-Fabric-Konfigurationen manipulieren, wodurch die Integrität und Verfügbarkeit von Unternehmensnetzwerken gefährdet werden kann.
Inhaltsverzeichnis
Betroffene Bereitstellungsmodelle
Die Sicherheitslücke betrifft mehrere Bereitstellungsmodelle, unabhängig von der Konfiguration:
- Lokale Bereitstellungen
- Cisco Hosted SD-WAN Cloud
- Cisco Hosted SD-WAN Cloud – Cisco Managed
- Cisco Hosted SD-WAN Cloud – FedRAMP-Umgebung
Systeme, die dem öffentlichen Internet ausgesetzt sind, insbesondere solche mit offenen Ports, sind einem deutlich erhöhten Risiko der Kompromittierung ausgesetzt.
Aktive Ausnutzung und Bedrohungsakteursaktivität
Sicherheitsforscher haben die aktive Ausnutzung dieser Schwachstelle seit 2023 bestätigt. Die Kampagne wird unter der Bezeichnung UAT-8616 geführt und als hochkomplexes Bedrohungscluster eingestuft. Es gibt Hinweise darauf, dass die Gruppe diese Zero-Day-Schwachstelle ausnutzte, um in Cisco SD-WAN-Umgebungen einzudringen und dauerhaft erweiterte Zugriffsrechte zu erlangen.
Die Angriffsmethode umfasst die Erstellung eines manipulierten Peers, der sich in die SD-WAN-Management- oder Steuerungsebene einbindet. Dieses bösartige Gerät erscheint als legitime, aber temporäre SD-WAN-Komponente und ermöglicht so vertrauenswürdige Interaktionen innerhalb der Managementinfrastruktur.
Nach der ersten Kompromittierung einer öffentlich zugänglichen Anwendung nutzten Angreifer den integrierten Update-Mechanismus, um die Softwareversionen herabzustufen. Diese Herabstufung ermöglicht die Ausnutzung von CVE-2022-20775 (CVSS-Wert: 7,8), einer schwerwiegenden Sicherheitslücke zur Rechteausweitung in der Cisco SD-WAN Software CLI. Sobald die Angreifer Root-Rechte erlangt haben, stellen sie das System auf die ursprüngliche Softwareversion wieder her, um die Entdeckung zu minimieren.
Zu den nach der Kompromittierung durchgeführten Maßnahmen, die UAT-8616 zugeschrieben werden, gehören:
- Erstellung lokaler Benutzerkonten, die legitimen Konten ähneln sollen.
- Einfügen von SSH-Autorisierungsschlüsseln für den Root-Zugriff und Modifizierung von SD-WAN-Startskripten
- Nutzung von NETCONF über Port 830 und SSH zur lateralen Bewegung innerhalb der Managementebene
- Manipulation von Protokolldateien, einschließlich des Löschens von Dateien unter /var/log, des Befehlsverlaufs und der Netzwerkverbindungsdatensätze
Diese Aktivität spiegelt einen breiteren Trend wider, bei dem raffinierte Akteure die Infrastruktur am Netzwerkrand ins Visier nehmen, um sich in wertvollen Umgebungen, einschließlich kritischer Infrastruktursektoren, dauerhaft zu etablieren.
Leitfaden für Patching und Fehlerbehebung
Cisco hat für mehrere Software-Versionen Korrekturen veröffentlicht. Organisationen, die anfällige Versionen verwenden, müssen auf die korrigierten Versionen aktualisieren, darunter:
- Versionen vor 20.9.1: Migration auf eine korrigierte Version.
- 20.9: Upgrade auf 20.9.8.2
- 20.11.1: Upgrade auf 20.12.6.1
- 20.12.5: Upgrade auf 20.12.5.3
- 20.12.6: Upgrade auf 20.12.6.1
- 20.13.1, 20.14.1, 20.15: Upgrade auf 20.15.4.2
- 20.16.1 und 20.18: Upgrade auf 20.18.2.1
Zusätzlich zum Einspielen von Patches sollten Organisationen eine forensische Überprüfung durchführen. Empfohlen wird die Prüfung der Datei `/var/log/auth.log` auf Einträge mit dem Hinweis „Accepted publickey for vmanage-admin“ von unbekannten IP-Adressen. Verdächtige IP-Adressen sollten mit den konfigurierten System-IP-Adressen in der Web-Oberfläche des Cisco Catalyst SD-WAN Managers unter „Geräte > System-IP“ abgeglichen werden.
Zur Erkennung potenzieller Downgrade- oder unerwarteter Neustartereignisse sollten die folgenden Protokolldateien analysiert werden:
- /var/volatile/log/vdebug
- /var/log/tmplog/vdebug
- /var/volatile/log/sw_script_synccdb.log
Bundesmandate und regulatorische Reaktionen
Nach bestätigter Ausnutzung hat die Cybersecurity and Infrastructure Security Agency (CISA) die Sicherheitslücken CVE-2026-20127 und CVE-2022-20775 in ihren Katalog bekannter ausgenutzter Sicherheitslücken (Knowledge Exploited Vulnerabilities, KEV) aufgenommen. Bundesbehörden der Exekutive sind verpflichtet, diese Sicherheitslücken innerhalb von 24 Stunden zu beheben.
CISA hat außerdem die Notfallrichtlinie 26-03 mit dem Titel „Schwachstellen in Cisco SD-WAN-Systemen beheben“ herausgegeben. Die Richtlinie verpflichtet Bundesbehörden, alle betroffenen SD-WAN-Ressourcen zu erfassen, Sicherheitsupdates anzuwenden und auf Anzeichen einer Kompromittierung zu prüfen.
Die Einhaltung der Fristen verpflichtet die Behörden zu Folgendem:
- Reichen Sie bis zum 26. Februar 2026, 23:59 Uhr ET, einen Katalog aller in den Geltungsbereich fallenden SD-WAN-Systeme ein.
- Bitte legen Sie bis zum 5. März 2026, 23:59 Uhr ET, eine detaillierte Liste der betroffenen Produkte und der zu ergreifenden Abhilfemaßnahmen vor.
- Alle Maßnahmen zur Verbesserung der Umweltbedingungen sind bis zum 26. März 2026, 23:59 Uhr ET, zu melden.
Diese Entwicklungen unterstreichen die dringende Notwendigkeit eines proaktiven Patch-Managements, einer kontinuierlichen Überwachung und einer defensiven Härtung der Netzwerkrandinfrastruktur, um fortgeschrittene persistente Bedrohungen, die auf SD-WAN-Umgebungen abzielen, abzuwehren.
