Kritische Cisco-Lücke: Angreifer übernehmen Netzwerke weltweit

Eine Schwachstelle mit der höchsten Gefahrenstufe in weit verbreiteter Cisco-Netzwerktechnik wird aktiv ausgenutzt. US-Behörden und internationale Partner warnen vor einem globalen Risiko für Regierungen und Unternehmen.

Die US-Cybersicherheitsbehörde CISA hat einen Notfall-Erlass herausgegeben. Grund ist eine kritische Lücke in Cisco Catalyst SD-WAN Manager- und Controller-Produkten. Sie ermöglicht Angreifern ohne Zugangsdaten, vollständige administrative Kontrolle über betroffene Systeme zu erlangen. Die Schwachstelle trägt die maximale CVSS-Bewertung von 10,0. Sie wurde in den Katalog der bekanntlich ausgenutzten Sicherheitslücken aufgenommen.

Angesichts solch kritischer Sicherheitslücken stehen viele Unternehmen vor der Herausforderung, ihre IT-Infrastruktur effektiv zu schützen. Dieser kostenlose Leitfaden zeigt Geschäftsführern und IT-Verantwortlichen, wie sie die Sicherheit proaktiv stärken, ohne das Budget zu sprengen. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Angriff mit Administrator-Rechten

Das Kernproblem liegt im Authentifizierungsmechanismus der Cisco SD-WAN-Lösungen. Ein Angreifer kann eine speziell präparierte Anfrage an ein verwundbares Gerät senden und so die Authentifizierung komplett umgehen. Ein erfolgreicher Angriff verschafft ihm Administrator-Privilegien – die Schlüsselgewalt über einen zentralen Baustein der Netzwerkinfrastruktur.

Mit diesem Zugang könnte ein Angreifer Netzwerkkonfigurationen manipulieren, fremde Geräte einschleusen und den Datenverkehr unbefugt kontrollieren. Die Folgen wären weitreichend: abgefangene Daten, die Ausbreitung innerhalb firmeninterner Netze und die Installation weiterer Schadsoftware. Die Bewertung von 10,0 unterstreicht, wie kritisch und einfach ausnutzbar diese Lücke ist.

Internationale Warnungen und Gegenmaßnahmen

Die Ernsthaftigkeit der Bedrohung zeigt die schnelle, koordinierte Reaktion internationaler Cybersicherheitsbehörden. CISA und das britische NCSC warnten am 25. Februar, Singapurs CSA folgte am 26. Februar. Das NCSC riet betroffenen Organisationen dringend, ihre Systeme zu überprüfen und nach Anzeichen eines bereits erfolgten Angriffs zu suchen.

CISAs Notfall-Erlass 26-03 setzt US-Bundesbehörden enge Fristen. Sie müssen bis Anfang März 2026 ein vollständiges Inventar aller betroffenen SD-WAN-Systeme vorlegen und ergriffene Maßnahmen melden. Die Anweisung ist für Bundesbehörden bindend, doch CISA drängt alle Organisationen zum sofortigen Handeln. Cisco hat bereits Sicherheitsupdates bereitgestellt, auf die Administratoren umgehend upgraden sollten.

Länger andauernde heimliche Angriffe

Besorgniserregend ist, dass die Ausnutzung der Lücke kein neues Phänomen ist. Bösartige Aktivitäten, die diese Schwachstelle nutzen, lassen sich bis ins Jahr 2023 zurückverfolgen. Das legt nahe, dass Angreifer sie bereits über einen längeren Zeitraum heimlich nutzten, bevor sie öffentlich bekannt wurde.

Diese langfristige Ausnutzung erhöht den Handlungsdruck. Organisationen müssen nicht nur das Update einspielen, sondern auch forensisch analysieren, ob sie bereits kompromittiert wurden. Der Vorfall passt in einen trend: Angreifer zielen vermehrt auf Netzwerk-Randgeräte und Sicherheitsappliances, um über diese internetfähigen Systeme Fuß in wertvolle Unternehmensnetze zu fassen.

Da Cyberkriminelle ihre Methoden ständig verfeinern, sind viele deutsche Betriebe nicht ausreichend auf derartige Angriffe vorbereitet. Erfahren Sie in diesem Experten-Report, mit welchen Strategien sich mittelständische Unternehmen jetzt gegen aktuelle Bedrohungen wappnen können. Effektive Strategien gegen Cyberkriminelle entdecken

Bedrohungslage auf Rekordniveau

Die Cisco-Warnung kommt in einer Phase zahlreicher kritischer Sicherheitsmeldungen. Microsoft behebt in seinen monatlichen Updates vom 11. Februar 58 Schwachstellen, darunter sechs Zero-Day-Lücken. Apple meldete am 12. Februar die erste aktiv ausgenutzte Zero-Day-Lücke des Jahres für iPhones und iPads. Google veröffentlichte am 24. Februar ein Notfall-Update für Chrome.

Doch die Kombination aus der Höchstbewertung 10,0, der aktiven Ausnutzung durch fortgeschrittene Angreifer und der kritischen Rolle der betroffenen Infrastruktur hebt die Cisco SD-WAN-Lücke hervor. Sie erfordert besondere Dringlichkeit.

Was jetzt zu tun ist

Für Netzwerkverantwortliche beginnt eine Phase schnellen Handelns. CISA gibt US-Behörden 24 bis 48 Stunden Zeit, um die Patches einzuspielen. Für private Unternehmen gilt die klare Empfehlung: sofort auf die gepatchten Software-Versionen updaten.

Angesichts der langen Ausnutzungsdauer reicht Patchen allein jedoch nicht aus. Sicherheitsexperten und Behörden raten zu einer Haltung des „angenommenen Kompromitts“. Organisationen müssen aktiv in ihren Netzen nach Anzeichen für Angriffe suchen. Unerwartete Neustarts, Versions-Downgrades oder unbefugte Konfigurationsänderungen in Logdateien sind Alarmzeichen. Die kommenden Wochen werden entscheidend sein, um das Ausmaß der Angriffskampagne zu verstehen und Eindringlinge aus den Netzen zu vertreiben.