Thought Leadership
Die US-Behörde CISA meldet die aktive Ausnutzung von CVE-2026-20182. Angreifer können Authentifizierungen umgehen und Administratorrechte erlangen.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine neu entdeckte Schwachstelle in Cisco Catalyst SD-WAN-Controllern in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Die Sicherheitslücke wird unter der Kennung CVE-2026-20182 geführt und erreicht im Common Vulnerability Scoring System (CVSS) den maximalen Schweregrad von 10,0. Behörden der staatlichen Exekutive (FCEB) sind angewiesen, die Sicherheitslücke bis zum 17. Mai 2026 zu schließen, um die Integrität ihrer Netzwerkinfrastrukturen zu gewährleisten.
Kritischer Authentication Bypass in Cisco Catalyst SD-WAN
Die Schwachstelle betrifft sowohl den Cisco Catalyst SD-WAN Controller als auch den SD-WAN Manager. Es handelt sich um einen kritischen Authentication Bypass. Dieser Fehler ermöglicht es einem entfernten, nicht authentifizierten Angreifer, die Sicherheitsabfragen des Systems vollständig zu umgehen. In der Folge kann der Angreifer administrative Privilegien auf dem betroffenen Gerät erlangen. Da SD-WAN-Controller zentrale Steuerungseinheiten für softwaredefinierte Weitverkehrsnetze sind, bedeutet ein erfolgreicher Einbruch die potenzielle Kontrolle über den gesamten Datenverkehr und die Netzwerkinfiguration einer Organisation.
Cisco identifizierte die aktive Ausnutzung der Sicherheitslücke und ordnete diese mit hoher Zuversicht der Bedrohungsgruppe UAT-8616 zu. Dieselbe Gruppierung wurde bereits mit der Ausnutzung von CVE-2026-20127 in Verbindung gebracht, einer ähnlichen Schwachstelle in SD-WAN-Systemen. Laut Analysen von Cisco Talos führt UAT-8616 nach dem Eindringen konsistente Aktionen durch: Die Angreifer versuchen, eigene SSH-Schlüssel zu hinterlegen, ändern die NETCONF-Konfigurationen und streben eine Ausweitung der Rechte auf Root-Ebene an.
Verknüpfung mit Operational Relay Box Netzwerken
Die Infrastruktur, die von UAT-8616 für die Angriffe und die Aktivitäten nach der Kompromittierung genutzt wird, weist Überschneidungen mit sogenannten Operational Relay Box (ORB) Netzwerken auf. Dies deutet auf eine organisierte Vorgehensweise hin, bei der kompromittierte Geräte als Relaisstationen genutzt werden, um die tatsächliche Herkunft der Angriffe zu verschleiern.
Zusätzlich zur Aktivität von UAT-8616 beobachteten Sicherheitsforscher seit März 2026 mehrere weitere Bedrohungscluster, die eine Kette von Schwachstellen ausnutzen. Dabei werden CVE-2026-20133, CVE-2026-20128 und CVE-2026-20122 kombiniert. Diese drei Lücken ermöglichen im Verbund ebenfalls einen unbefugten Fernzugriff auf die Geräte. CISA hatte diese Schwachstellen bereits im Vormonat in den KEV-Katalog aufgenommen. Die Angreifer nutzen dabei häufig öffentlich verfügbaren Proof-of-Concept-Code (PoC), um Web-Shells auf den Zielsystemen zu installieren und beliebige Bash-Befehle auszuführen.
Zehn Angriffscluster in Cisco-Infrastruktur
Die Sicherheitsanalysen haben mindestens zehn verschiedene Cluster identifiziert, die aktiv versuchen, die Schwachstellen in der Cisco-Infrastruktur auszunutzen. Jeder Cluster verwendet spezifische Werkzeuge und verfolgt unterschiedliche Ziele:
Cluster 1 und 4 setzen auf die Godzilla Web-Shell, um dauerhaften Zugriff zu erhalten. Cluster 2 nutzt die Behinder Web-Shell, während Cluster 3 eine Kombination aus der sogenannten XenShell und einer Variante von Behinder einsetzt. Die XenShell basiert auf JavaServer Pages (JSP) und nutzt einen PoC der ZeroZenX Labs.
Cluster 5 verwendet einen Malware-Agenten, der auf dem Red-Teaming-Framework AdaptixC2 basiert. Cluster 6 hingegen setzt das Sliver Command-and-Control (C2) Framework ein. Diese Werkzeuge ermöglichen eine umfassende Fernsteuerung der infizierten Systeme.
Ökonomisch motivierte Angriffe und Datendiebstahl
Nicht alle Angriffe dienen der klassischen Spionage. Cluster 7 und Cluster 9 installieren XMRig Miner, um die Rechenleistung der SD-WAN-Controller für das Mining von Kryptowährungen zu missbrauchen. Cluster 9 nutzt zusätzlich das Tool gsocket, um Peer-basierte Proxy- und Tunneling-Verbindungen aufzubauen und so Sicherheitskontrollen zu umgehen.
Cluster 8 nutzt das Asset-Mapping-Tool KScan sowie eine Backdoor auf Nim-Basis. Diese Backdoor, die wahrscheinlich auf NimPlant basiert, ermöglicht Dateioperationen, die Ausführung von Bash-Skripten und das Sammeln von Systeminformationen.
Besonders kritisch ist die Aktivität von Cluster 10. Diese Gruppe setzt einen Credential Stealer ein, der gezielt versucht, Hashdumps von Administrator-Accounts zu erbeuten. Zudem werden JSON Web Tokens (JWT) Key-Chunks gesammelt, die für die Authentifizierung an REST-APIs verwendet werden. Auch AWS-Zugangsdaten für den vManage-Dienst stehen im Fokus dieses Clusters, was die Bedrohung auf verbundene Cloud-Umgebungen ausweitet.
Handlungsempfehlungen für Systemadministratoren
Cisco und CISA fordern Administratoren dringend auf, die bereitgestellten Sicherheitsupdates für den Catalyst SD-WAN Manager und Controller zu installieren. Da die Ausnutzung aktiv stattfindet und Proof-of-Concept-Code verfügbar ist, gilt die Bedrohungslage als akut. Unternehmen sollten ihre Systeme auf Anzeichen von Kompromittierung prüfen, insbesondere auf unbekannte SSH-Schlüssel, modifizierte NETCONF-Dateien oder die Existenz von JSP-Dateien in Web-Verzeichnissen.
Die CISA-Deadline für Bundesbehörden bis zum 17. Mai unterstreicht die Dringlichkeit. Für private Organisationen wird empfohlen, diesem Zeitplan zu folgen, da die SD-WAN-Infrastruktur oft das Rückgrat der Unternehmenskommunikation bildet. Ein kompromittierter Controller ermöglicht es Angreifern, den gesamten Netzwerkverkehr mitzulesen oder umzuleiten, was weitreichende Konsequenzen für den Datenschutz und die Betriebssicherheit hat.
