Sicherheitshinweis: CVE-2026-20127 - Umgehung der SD-WAN-Authentifizierung von Cisco Catalyst

Cisco Catalyst SD-WAN-Plattformen sind in Unternehmen, Behörden und Service Providern weit verbreitet und dienen oft als Kerninfrastruktur, die Außenstellen, Rechenzentren und Cloud-Umgebungen miteinander verbindet. Da diese Controller häufig von externen Netzwerken aus erreichbar sind, um verteilte Operationen zu unterstützen, stellen sie ein sehr sichtbares und attraktives Ziel für Bedrohungsakteure dar.

Cisco hat eine kritische Authentifizierungsumgehungsschwachstelle (CVE-2026-20127) bekannt gegeben, die sowohl den Cisco Catalyst SD-WAN Controller (früher vSmart) als auch den Cisco Catalyst SD-WAN Manager (früher vManage) betrifft. Die Schwachstelle hat einen CVSS-Score von 10.0 und ermöglicht es einem entfernten, nicht authentifizierten Angreifer, Zugriff auf administrativer Ebene zu erlangen, indem er manipulierte Anfragen an ein offenes System sendet.

Die Schwachstelle ist auf einen Fehler im SD-WAN-Peering-Authentifizierungsprozess zurückzuführen, wodurch ein zentraler Vertrauensmechanismus in der Steuerungsebene unterbrochen wird. Sobald die Schwachstelle ausgenutzt wurde, kann sich ein Angreifer als interner Benutzer mit hohen Privilegien (ohne Root-Rechte) anmelden und NETCONF verwenden, um die SD-WAN-Konfiguration zu manipulieren.

Sicherheitsbehörden in den USA, Großbritannien, Australien, Kanada und Neuseeland haben gemeinsam bestätigt, dass diese Schwachstelle seit mindestens 2023 aktiv ausgenutzt wird. Cisco hat die Aktivitäten mit einem ausgeklügelten Intrusion-Cluster mit der Bezeichnung UAT-8616 in Verbindung gebracht.

Die CISA hat die Sicherheitslücke außerdem in ihre Liste der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen, um ihre Auswirkungen auf den Betrieb zu unterstreichen.

Betroffene Produkte

Die Sicherheitslücke betrifft alle Einsatztypen von Cisco Catalyst SD-WAN-Komponenten, unabhängig von der Konfiguration:

• Cisco Catalyst SD-WAN Controller (vSmart)
• Cisco Catalyst SD-WAN-Manager (vManage)
• Vor-Ort-Installationen
• Von Cisco gehostete SD-WAN-Wolke
• Cisco-verwaltete Cloud- und FedRAMP-SD-WAN-Cloud-Umgebungen
• Zugriff auf das System ohne Authentifizierung
• Anmeldung als interner hochprivilegierter Benutzer
• NETCONF verwenden, um die SD-WAN-Konfiguration zu ändern
• Hinzufügen von abtrünnigen SD-WAN-Peers
• Sich für eine weitere Privilegienerweiterung positionieren (z. B. Verkettung mit CVE-2022-20775)
• Cisco hat eine begrenzte, aber reale Ausnutzung der Sicherheitslücke bestätigt.
• Nachrichtendienste berichten von Ausnutzungsaktivitäten, die bis ins Jahr 2023 zurückreichen.
• Der Bedrohungsakteur UAT-8616 hat die Schwachstelle genutzt, um abtrünnige Peers hinzuzufügen und langfristigen Zugang zu erhalten.
• Mehrere nationale Cybersicherheitszentren haben koordinierte Warnungen und einen gemeinsamen SD-WAN Threat Hunt Guide herausgegeben.
• 20.9.8.2
• 20.12.6.1
• 20.12.5.3
• 20.15.4.2
• 20.18.2.1
• Verdächtige Einträge in /var/log/auth.log, insbesondere:
• Akzeptierter öffentlicher Schlüssel für vmanage-admin von unbekannten IPs
• Überprüfung der IP-Listen des SD-WAN-Managers auf unerwartete Änderungen im Gerätesystem
• Platzierung von Verwaltungs- und Kontrollkomponenten hinter strengen Perimeter-Firewalls
• Isolierung von VPN 512-Schnittstellen
• Manuell bereitgestellte Edge-Geräte-IPs einschränken
• Ersetzen Sie selbstsignierte Zertifikate
• Weiterleitung von Protokollen an Remote-Syslog

Anwendbar auf:

Es gibt keine Umgehungsmöglichkeiten, und ein Patching ist erforderlich.

Technische Zusammenfassung

Was der Angreifer tun kann

Ein Angreifer kann den fehlerhaften Peering-Authentifizierungsmechanismus ausnutzen:

Da SD-WAN das Herzstück des verteilten Unternehmensroutings ist, verschafft ein unbefugter Zugriff auf dieser Ebene Angreifern einen umfassenden Einblick und Kontrolle über die angeschlossenen Standorte.

Ausnutzungsstatus

Behobene Software-Versionen

Cisco hat Updates für alle wichtigen SD-WAN-Softwareversionen veröffentlicht. Betroffene Benutzer müssen auf gepatchte Versionen aktualisieren, wie zum Beispiel:

(abhängig vom aktuellen Softwarezweig)

Geräte, die mit Versionen vor 20.9.1 arbeiten, müssen auf eine gefixte Version migrieren.

Empfohlene Maßnahmen

1. Sofort patchen

Wenden Sie das entsprechende von Cisco bereitgestellte Update unverzüglich an. Es gibt keine unterstützten Umgehungslösungen.

2. Führen Sie eine gezielte Bedrohungsjagd durch

Die nationalen Behörden empfehlen, Snapshots zu sammeln, Protokolle zu überprüfen und Indikatoren für eine Gefährdung zu untersuchen. Zu den wichtigsten Punkten gehören:

• Verdächtige Einträge in /var/log/auth.log, insbesondere:
• Akzeptierter öffentlicher Schlüssel für vmanage-admin von unbekannten IPs
• Überprüfung der IP-Listen des SD-WAN-Managers auf unerwartete Änderungen

3. Verstärkung der SD-WAN-Management-Exposition

Befolgen Sie die SD-WAN-Härtungsrichtlinien von Cisco:

• Platzieren Sie Management- und Kontrollkomponenten hinter strengen Perimeter-Firewalls
• Isolieren Sie VPN 512-Schnittstellen
• Beschränken Sie manuell bereitgestellte Edge-Geräte-IPs
• Ersetzen Sie selbstsignierte Zertifikate
• Weiterleitung von Protokollen an Remote-Syslog

Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt auf, umzu erfahren, wie Sie Ihr Unternehmen schützen können.