Cisco warnt vor kritischer Zero-Day-Lücke in SD-WAN Manager

Cisco und Behörden warnen vor einer maximal kritischen Sicherheitslücke in Netzwerk-Managementsystemen. Die seit 2023 ausgenutzte Zero-Day-Schwachstelle ermöglicht Angreifern die vollständige Kontrolle über Unternehmensnetzwerke. Weltweit haben Cybersicherheitsbehörden Notfallmaßnahmen erlassen.

Angreifer nutzen Lücke seit Jahren unbemerkt aus

Im Zentrum steht die Schwachstelle CVE-2026-20127 mit dem Höchstwert 10.0 auf der CVSS-Skala. Der Fehler im Authentifizierungsmechanismus des Cisco Catalyst SD-WAN Managers erlaubt es unauthentifizierten Angreifern, die Anmeldeverfahren zu umgehen. Sie erhalten so administrative Rechte und können die gesamte SD-WAN-Struktur manipulieren – unabhängig davon, ob die Systeme lokal oder in der Cloud laufen.

Der aktuelle Cisco-Vorfall unterstreicht, warum laut Statistiken 73 % der deutschen Unternehmen unzureichend auf Cyberangriffe vorbereitet sind. Dieser kostenlose Leitfaden unterstützt Geschäftsführer dabei, die IT-Sicherheit proaktiv zu stärken und auf neue Bedrohungslagen zu reagieren. IT-Sicherheits-Strategien für Unternehmen kostenlos herunterladen

Entdeckt wurde die Lücke vom Australian Cyber Security Centre. Analysen von Ciscos Sicherheitsteam Talos ordnen die Angriffe der hochprofessionellen Gruppe UAT-8616 zu. Diese nutzt die Lücke offenbar bereits seit 2023 aus, blieb aber bis vor kurzem unentdeckt.

Raffinierte Tarnung durch Downgrade-Attacke

Die Angreifer gehen äußerst trickreich vor. Nach dem Eindringen erstellen sie einen temporären, bösartigen Netzwerkknoten in der Managementebene. Für die dauerhafte Einrichtung nutzen sie dann den integrierten Update-Mechanismus, um die Systemsoftware gezielt auf eine ältere Version herabzustufen.

Anschließend greifen sie eine bereits bekannte Schwachstelle aus dem Jahr 2022 an, um Root-Rechte zu erlangen. Abschließend wird das System wieder auf die ursprüngliche Version aktualisiert. Diese Manipulation bleibt für herkömmliche Überwachungsmechanismen nahezu unsichtbar.

Weitere kritische Lücken im SD-WAN-Ökosystem

Parallel zur Zero-Day-Lücke hat Cisco Ende Februar weitere Schwachstellen im SD-WAN Manager bekannt gegeben. Die Lücke CVE-2026-20122 ermöglicht es authentifizierten Angreifern, beliebige Dateien auf dem lokalen Dateisystem zu überschreiben.

Eine weitere Schwachstelle, CVE-2026-20128, betrifft den Data Collection Agent. Hier können lokale Angreifer durch das Auslesen unzureichend geschützter Anmeldeinformationen ihre Rechte unautorisiert ausweiten. Diese Häufung kritischer Fehler zeigt die Komplexität moderner Netzwerk-Management-Tools.

Weltweiter Notfallalarm der Behörden

Die Schwere der Bedrohung hat beispiellose Reaktionen ausgelöst. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) veröffentlichte umgehend die Notfallrichtlinie 26-03 mit strikten Fristen für Bundesbehörden.

Auch das britische National Cyber Security Centre und die Cyber Security Agency of Singapore schlossen sich den Warnungen an. Behörden raten Administratoren zur dringenden Überprüfung der Systemprotokolle auf unerwartete Einträge von unbekannten IP-Adressen.

Bei einem festgestellten Einbruch auf Root-Ebene empfehlen Experten, die betroffenen Instanzen komplett neu aufzusetzen. Die Angreifer könnten tiefgreifende Hintertüren installiert haben.

SD-WAN-Systeme als zentrales Nervensystem kompromittiert

Branchenanalysten bewerten den Vorfall als äußerst kritisch. SD-WAN-Systeme fungieren als zentrales Nervensystem für verteilte Netzwerke. Sie steuern, wie Daten von Firmen-Smartphones, Homeoffice-Laptops und entfernten Niederlassungen sicher durchs Internet geleitet werden.

Da Hacker immer häufiger psychologische Schwachstellen und technische Lücken in der vernetzten Infrastruktur ausnutzen, wird eine strukturierte Abwehr lebenswichtig. Erfahren Sie in diesem Experten-Guide, wie Sie Ihr Unternehmen in vier Schritten effektiv vor Phishing und komplexen Hacker-Methoden schützen. Anti-Phishing-Paket für Unternehmen jetzt gratis sichern

Ist die Management-Ebene kompromittiert, könnten Angreifer theoretisch den gesamten Datenverkehr umleiten, abhören oder manipulieren. Dass die Gruppe UAT-8616 seit 2023 unbemerkt agieren konnte, offenbart gravierende blinde Flecken in vielen Erkennungssystemen.

Updates sind alternativlos – Auswirkungen für Nutzer

Cisco hat bereits Software-Updates für die betroffenen Versionen zwischen 20.9 und 20.18 bereitgestellt. Deren sofortige Installation gilt als alternativlos. In den kommenden Wochen rechnen Experten mit weitreichenden forensischen Untersuchungen in Unternehmensnetzwerken.

Für Nutzer von Firmen-Smartphones und Remote-Work-Lösungen könnten sich temporäre Verbindungsausfälle ergeben, während IT-Abteilungen die notwendigen Patches an der zentralen Routing-Infrastruktur durchführen. Langfristig dürfte dieser Vorfall die Entwicklung strengerer Zero-Trust-Architekturen beschleunigen.