Beschreibung:
Am 25. Februar 2026 hat Cisco mehrere kritische Sicherheitslücken in Cisco Catalyst SD-WAN (ehemals Cisco SD-WAN) veröffentlicht. Die schwerwiegendste Schwachstelle (CVE-2026-20127, CVSS 10.0) betrifft den Cisco Catalyst SD-WAN Controller (ehemals vSmart) und ermöglicht es einem nicht authentifizierten Angreifer aus der Ferne, die Peering-Authentifizierung zu umgehen und sich als vertrauenswürdiger Peer in die SD-WAN Management- und Control-Plane einzuschleusen.
Eine weitere kritische Lücke (CVE-2026-20129, CVSS 9.8) ermöglicht über die API des SD-WAN Managers ohne Authentifizierung den Zugriff mit administrativen Rechten. Cisco Talos hat die aktiv angreifende Bedrohungsgruppe als UAT-8616 identifiziert und bewertet diese mit hoher Konfidenz als hochsophistizierten, staatlich geförderten Akteur. Forensische Untersuchungen ergaben, dass die Schwachstellen bereits seit mindestens 2023 als Zero-Day aktiv ausgenutzt wurden.
Betroffene Systeme:
Cisco Catalyst SD-WAN Controller (ehemals SD-WAN vSmart)
- Betroffen von: CVE-2026-20127
- Alle Deployment-Typen: On-Prem, Cisco Hosted SD-WAN Cloud, FedRAMP
Cisco Catalyst SD-WAN Manager (ehemals SD-WAN vManage)
- Betroffen von: CVE-2026-20127, CVE-2026-20129, CVE-2026-20126, CVE-2026-20133, CVE-2026-20122, CVE-2026-20128
- Betroffene Versionen:
- Cisco Catalyst SD-WAN Software älter als 20.9 (End-of-Maintenance, Migration erforderlich)
- 20.9.x
- 20.11.x
- 20.12.x
- 20.13.x
- 20.14.x
- 20.15.x
- 20.16.x
- 20.18.x
Behobene Versionen:
Älter als 20.9 - Migration auf unterstützte Version erforderlich
20.9.x - 20.9.8.2
20.11.x / 20.12.5 - 20.12.5.3
20.12.x - 20.12.6.1
20.13 – 20.15 - 20.15.4.2
20.16 / 20.18 - 20.18.2.1
Hinweis: Cisco Catalyst SD-WAN Manager ab Version 20.18 ist von CVE-2026-20128 und CVE-2026-20129 nicht betroffen.
Empfohlene Maßnahmen:
Cisco hat Sicherheitsupdates veröffentlicht. Es stehen keine vollständigen Workarounds zur Verfügung. Folgende Maßnahmen werden empfohlen:
Sofortmaßnahmen:
- Update auf die gepatchten Versionen (siehe Tabelle oben) – höchste Priorität
- Ports 22 und 830 per ACL oder Firewall-Regeln ausschließlich auf bekannte, autorisierte Controller-IPs beschränken
- Management-Interfaces dürfen nicht aus dem Internet erreichbar sein
- Snort-Regeln 65938 und 65958 im IDS/IPS aktivieren
Bei festgestellter Kompromittierung:
- Betroffene Instanzen (vManage, vSmart, vBond) aus gepatchten Images komplett neu aufsetzen – kein Restore aus alten Backups, da diese ebenfalls kompromittiert sein können
Härtungsmaßnahmen (langfristig):
Einschätzung der Bedrohung:
Die Schwachstellen wurden in den Known Exploited Vulnerabilities Catalog der CISA aufgenommen.
CISA hat zudem die Emergency Directive ED 26-03 erlassen – eine der schärfsten Eskalationsstufen überhaupt, die ausschließlich bei unmittelbarer, ernsthafter Bedrohung nationaler Systeme verwendet wird.
Fünf internationale Cybersicherheitsbehörden (ASD ACSC, CISA, NCSC-UK, CCCS, NCSC-NZ) haben koordiniert reagiert. Cisco Talos bewertet den Akteur UAT-8616 als hochsophistiziert und staatlich gefördert mit klarem Fokus auf kritische Infrastruktur.
Die dreijährige verdeckte Ausnutzung als Zero-Day, die gezielte Spurenverwischung (Versionsdowngrade, Log-Clearing) und der Einsatz einer Exploit-Chain (CVE-2026-20127 + CVE-2022-20775) für Root-Zugriff deuten auf eine APT-Gruppe mit umfangreichen Ressourcen hin. SD-WAN-Infrastruktur ist besonders attraktiv für Angreifer, da ein kompromittierter Controller die vollständige Kontrolle über WAN-Verbindungen, Routing-Entscheidungen und den gesamten Datenverkehr zwischen Zweigstellen, Rechenzentren und Cloud-Diensten ermöglicht.
Mit kurzfristigen, breit angelegten Angriffskampagnen durch weitere Akteure muss gerechnet werden, nachdem die Schwachstellen nun öffentlich bekannt sind.
Proaktives Prüfen auf Anzeichen einer Kompromittierung (Indicators of Compromise):
Da die Schwachstelle nachweislich seit 2023 aktiv ausgenutzt wird, reicht ein reines Update nicht aus. Es wird dringend empfohlen, bestehende Installationen auf Kompromittierung zu untersuchen.
1. Überprüfung der Authentifizierungs-Logs
- Auf jedem Controller/Manager folgende Datei prüfen: /var/log/auth.log
- Verdächtige Einträge enthalten
- Accepted publickey for vmanage-admin von unbekannten IP-Adressen.
- Die gefundenen IP-Adressen sind gegen die unter WebUI > Devices > System IP konfigurierten, bekannten Controller-IPs abzugleichen.
2. Validierung von Control-Connection-Peering-Events
- Alle Peering-Events in den SD-WAN-Logs erfordern manuelle Prüfung. Beispiel eines verdächtigen Log-Eintrags:
Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001:control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005
- Zu prüfen: Timestamp gegen bekannte Wartungsfenster, public-ip gegen eigene Asset-Listen, peer-system-ip gegen dokumentierte Geräte.
3. Weitere hochwertige IoCs (laut Cisco Talos / UAT-8616)
- Erstellung, Nutzung und Löschung von unbekannten Benutzerkonten inkl. fehlender bash_history und cli-history
- Interaktive Root-Sessions auf Produktivsystemen, unbekannte SSH-Keys in /home/root/.ssh/authorized_keys mit PermitRootLogin yes in /etc/ssh/sshd_config
- Unbekannte SSH-Keys für den vmanage-admin Account unter /home/vmanage-admin/.ssh/authorized_keys
- Abnormal kleine oder leere Logfiles (0/1/2 Byte), Hinweise auf Log-Truncation in: syslog, wtmp, lastlog, cli-history, bash_history
- Path-Traversal-Strings in Logs (z.B. /../../ oder /\\n&../\\n&../) als Hinweis auf CVE-2022-20775-Ausnutzung
- Unerwartete Software-Versionsdowngrades mit anschließendem Reboot
4. Threat Hunt Guide
Den vollständigen ACSC-led Threat Hunt Guide findet man unter: https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf
Weitere Hinweise:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EH…
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp…
https://www.cisa.gov/news-events/directives/ed-26-03-mitigate-vulnerabilities-cisco-sd-wan-systems
https://www.ncsc.gov.uk/news/exploitation-cisco-catalyst-sd-wans
https://blog.talosintelligence.com/uat-8616-sd-wan/
https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf
https://www.cert.at/de/warnungen/2026/2/kritische-sicherheitslucken-in-cisco-catalyst-sd-wan-aktiv-…
