CVE-2026-20127: Cisco SD-WAN Zero-Day seit 2023 ausgenutzt

Neuer Tag, neue Schwachstelle im Rampenlicht. Wir sehen einmal mehr, wie schnell ausgenutzte Schwachstellen in weit verbreiteten Plattformen zu einem realen Betriebsrisiko werden. Die Berichterstattung über Cisco-Schwachstellen mit maximaler Schwere (CVE-2025-20393, CVE-2026-20045), sowie der Dell RecoverPoint Zero-Day CVE-2026-22769, zeigt, dass Angreifer zunehmend auf infrastrukturbezogene Systeme am Rand abzielen, die unauffällig den Verkehrsfluss, Identitätspfade und die Verfügbarkeit von Diensten kontrollieren.

Diese Geschichte setzt sich mit CVE-2026-20127 fort, einem kritischen Authentifizierungs-Bypass, der Cisco Catalyst SD-WAN Controller (ehemals vSmart) und Cisco Catalyst SD-WAN Manager (ehemals vManage) betrifft. Cisco Talos berichtet, dass die Schwachstelle aktiv ausgenutzt wird und verfolgt die Aktivität als UAT-8616 mit der Einschätzung, dass ein hochentwickelter Bedrohungsakteur sie mindestens seit 2023 ausnutzt.

Der GreyNoise 2026 State of the Edge Report zeigt warum bestätigte Ausnutzung in randbezogenen Netzwerkkontrollsystemen dringende Maßnahmen erfordert. In der zweiten Hälfte 2025 beobachtete GreyNoise 2,97 Milliarden bösartige Sitzungen von 3,8 Millionen eindeutigen Quell-IPs, die auf internetbezogene Infrastruktur abzielten, was verdeutlicht, wie schnell die Ausnutzung von Verkehrsskalen, sobald Angreifer sich auf eine freiliegende Oberfläche konzentrieren.

Melden Sie sich für SOC Prime’s AI-Native Detection Intelligence Platform an, unterstützt durch Spitzentechnologie und erstklassige Cybersicherheitskompetenz, um Cyberbedrohungen zu überwinden und eine widerstandsfähige Cybersicherheitsposition aufzubauen. Klicken Sie auf Erkennen erforschen um auf die umfassende Sammlung von SOC-Inhalten zur Schwachstellenausnutzungserkennung zuzugreifen, gefiltert nach dem benutzerdefinierten „CVE“-Tag.

Erkennen erforschen

Erkennungen aus dem speziellen Regelset können auf mehreren SIEM-, EDR- und Data-Lake-Plattformen angewendet und mit dem neuesten MITRE ATT&CK® Framework v18.1 abgebildet werden. Sicherheitsteams können auch Uncoder AI nutzen, um die Detektionserstellung zu beschleunigen end-bis-Ende durch Regeln direkt aus Live-Bedrohungsberichten generieren, Detektionslogik verfeinern und validieren , Angriffsabläufe automatisch visualisieren, IOCs in benutzerdefinierte Jagd-Abfragen umwandeln und Detektionscode sofort in verschiedene Sprachformate übersetzen. logic, auto-visualizing Attack Flows, converting IOCs into custom hunting queries, and instantly translating detection code across diverse language formats.

CVE-2026-20127-Analyse

Cisco Talos beschreibt CVE-2026-20127 als ein Problem, das es einem nicht authentifizierten Remote-Angreifer ermöglicht, die Authentifizierung zu umgehen und durch das Senden maßgeschneiderter Anfragen administrative Privilegien auf dem betroffenen System zu erlangen. Die öffentliche Warnung von Cisco verknüpft die Ursache des Problems mit einem Peer-Authentifizierungsmechanismus, der nicht ordnungsgemäß funktioniert.

Ein erfolgreicher Exploit kann es einem Angreifer ermöglichen, sich als internes, hoch privilegiertes, nicht-root Konto bei einem Catalyst SD-WAN Controller anzumelden und diesen Zugang zu nutzen, um NETCONF zu erreichen und die SD-WAN-Fabric-Konfiguration zu manipulieren. Diese Art von Control-Plane-Zugriff ist genau das, was SD-WAN-Vorfälle so störend macht, da die Angreifer in der Lage sind, zu bestimmen, wie sich das Netzwerk verhält.

Mehrere Regierungs- und Partnerwarnungen beschreiben einen allgemeinen Pfad nach der Ausnutzung. Nachdem CVE-2026-20127 ausgenutzt wurde, wurde beobachtet, dass Akteure einen schurkischen Peer hinzufügen und dann in Richtung Root-Zugriff und Langzeit-Persistenz innerhalb von SD-WAN-Umgebungen gehen. Talos fügt hinzu, dass Intelligenzpartner eine Eskalation beobachteten, die eine Herabstufung der Softwareversion, die Ausnutzung von CVE-2022-20775 und dann die Wiederherstellung zur Originalversion beinhaltete, eine Abfolge, die die Erkennung erschweren kann, wenn Teams nur die „aktuelle“ laufende Version validieren.

Da die Ausnutzung bestätigt wurde und Systeme betrifft, die zur Verwaltung der Konnektivität über Standorte und Clouds hinweg genutzt werden, erließ CISA die Notfallrichtlinie 26-03 für US-amerikanische zivile Bundesbehörden, mit einer beschleunigten Anforderung, die erforderlichen Maßnahmen bis spätestens 17:00 Uhr (ET) am 27. Februar 2026 abzuschließen. FedRAMP vermittelte dieselbe Dringlichkeit auch an Cloud-Anbieter, die Bundesumgebungen unterstützen.

CVE-2026-20127 Minderung

Laut Ciscos Warnung betrifft CVE-2026-20127 Cisco Catalyst SD-WAN Controller und Cisco Catalyst SD-WAN Manager unabhängig von der Gerätekonfiguration, in diesen Bereitstellungstypen:

• On-Prem-Bereitstellung
• Cisco gehostete SD-WAN Cloud
• Cisco gehostete SD-WAN Cloud – Cisco verwaltet
• Cisco gehostete SD-WAN Cloud – FedRAMP-Umgebung
  
  

Cisco weist auch darauf hin, dass es keine Workarounds gibt, die diese Schwachstelle vollständig adressieren. Die dauerhafte Lösung besteht im Upgrade auf eine gepatchte Version, wobei die genauen festgelegten Versionen im Cisco-Beratung unter dem Abschnitt Behebe Software aufgelistet sind.

Benutzer werden dazu aufgefordert, mit der Priorisierung der Patches zu beginnen, da dies die einzige vollständige Behebung ist, und zu überprüfen, ob die Patches tatsächlich über jede betroffene Catalyst SD-WAN Controller- und Manager-Instanz hinweg installiert sind.

Um die Angriffsfläche zu reduzieren, während Benutzer patchen und validieren, betont die CISA und die UK NCSC -Richtlinien die Bedeutung der Beschränkung der Netzexposition, der Platzierung von SD-WAN-Steuerungskomponenten hinter Firewalls und der Isolierung von Schnittstellenverwaltung von ungesicherten Netzwerken. Parallel dazu sollten SD-WAN-Protokolle an externe Systeme weitergeleitet werden, damit Angreifer keine lokalen Beweise leicht löschen können.

Schließlich ist es besser, dies sowohl als Patch- als auch als Untersuchungsevent zu behandeln. Cisco empfiehlt die Überprüfung von /var/log/auth.log nach Einträgen wie „Accepted publickey für vmanage-admin“, die von unbekannten oder nicht autorisierten IP-Adressen stammen, und dann diese Quell-IPs mit den konfigurierten System-IPs im Manager-UI (WebUI > Geräte > System-IP) zu vergleichen. Wenn Benutzer einen Kompromiss vermuten, rät Cisco zur Kontaktaufnahme mit Cisco TAC und Sammlung der Admin-Tech-Ausgabe (zum Beispiel über Anfrage admin-tech), damit sie überprüft werden kann.

Da die berichtete Aktivität Versionsherunterstufung und unerwartetes Neustartverhalten als Teil der Post-Kompromiss-Kette umfassen kann, wird in öffentlichen Richtlinien auch empfohlen, die folgenden Protokolle auf Indikatoren für Herunterstufung/Neustart zu überprüfen:

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log
  
  

Um die Abdeckung über Patching- und Minderungsschritte hinaus zu verstärken, verlassen Sie sich auf die SOC Prime Platform um auf den weltweit größten Datensatz zur Erkennungsintelligenz zuzugreifen, eine End-to-End-Pipeline zu übernehmen, die sich über Erkennung durch Simulation erstreckt, Sicherheitsoperationen verschlankt und Antwort-Workflows beschleunigt, den Engineering-Überhang reduziert und vor aufkommenden Bedrohungen voraus bleibt.