Ein maximaler Schwere-Sicherheitsversagen hat wieder Netzrandgeräte im Fokus platziert: Cisco hat bestätigt, dass die kritische Schwachstelle in seinen SD-WAN-Katalysatortreibern und Managern (früher als vSmart und vManage bekannt) seit 2023 von einem hochentwickelten Schauspieler aktiv genutzt wird und zu koordinierten Antworten von mehreren nationalen und kommerziellen Sicherheitsteams geführt hat.
Schwachstelle, aufgelistet als CVE-2026-20127 und mit CVSS-Score 10.0, ermöglicht einen Remote-Angreifer ohne Authentifizierung, um Authentifizierungsmechanismen überspringen und administrative Privilegien annehmen innerhalb des SD-WAN-Managementplans. In der Praxis kann ein schädliches Gerät als ein Paar Vertrauen in die Steuerebene "joinieren" und Aktionen ausführen, die normalerweise hochrangige Anmeldeinformationen benötigen, wie z.B. die Netzwerkkonfiguration über NETCONF oder SSH.
Cisco hat erklärt, dass die Wurzel des Problems ein Ausfall im Peer-Authentifizierungsmechanismus ist. Das Unternehmen verdankt die Entdeckung des Australian Signals Direktion / Australian Cyber Security Centre (ASD-ACSC) und markiert die Kampagne gegen seine SD-WAN-Systeme als UAT-8616 und beschreibt die verantwortliche Gruppe als hochentwickelt. Das Talos-Team, das die Operation untersucht hat, betont, dass die Operation und die Nachverpflichtungsaktivität einem Muster folgen, das darauf abzielt, Beharrlichkeit zu etablieren und sich seitlich innerhalb der betroffenen Anlagen zu bewegen - ein typisches Verhalten, wenn die Angreifer Stützpunkte in kritischer Infrastruktur suchen. Weitere Informationen und technische Analysen finden Sie im Talos-Blog: https: / / blog.talosintelligence.com / uat-8616-sd-wan /.
Die Risiken, die sich aus diesem Misserfolg ergeben, sind nicht auf die sofortige Aufhebung der Privilegien beschränkt. Bei dokumentierten Vorfällen haben Angreifer die erste Lücke genutzt, um einen Software-Versionsabbau zu zwingen, eine vorherige Sicherheitslücke auszunutzen (CVE-2022-20775), die es Ihnen ermöglicht, auf Wurzel zu klettern, und dann die ursprüngliche Version wiederherzustellen, um Spuren zu verbergen. Die CVE-2022-20775 wird in der NIST-Datenbank gesammelt und erklärt die als Teil der Angriffskette verwendete Klettertechnik: https: / / nvd.nist.gov / vuln / detail / cve-2022-20775.
Nach dem Erkennen von Intrusionsversuchen haben Angreifer vorgegangen, lokale Konten zu erstellen, die andere bestehende imitieren, SSH-Tasten hinzufügen, die für den Root-Zugriff autorisiert sind, SD-WAN-bezogene Boot-Skripte modifizieren und NETCONF und SSH verwenden, um zwischen Management-Ebenengeräten zu kommunizieren. Sie haben auch Datensätze und Befehle aus der Geschichte gelöscht, um die Untersuchungen zu komplizieren. Diese Schritte ermöglichen es, den dauerhaften Zugang zu erhalten und mit einem bestimmten sigil in kritischen Unternehmens- und Infrastrukturumgebungen zu betreiben.
Der Umfang ist breit: wurden als betroffene On-Premises-Bereitstellungen, Cloud-Implementierungen von Cisco SD-WAN angezeigt (einschließlich Umgebungen, die von Cisco und FedRAMP-Umgebungen verwaltet werden). Cisco hat einen Leitfaden mit korrigierten Versionen und Migrationsempfehlungen veröffentlicht; es ist wichtig, die in Ihrer offiziellen Mitteilung angegebenen Updates zu überprüfen und umzusetzen: Sicherheitshinweis von Cisco.
Die Ernsthaftigkeit des Vorfalls hat regulatorische Maßnahmen motiviert: die US-Infrastruktur- und Cybersicherheitsagentur. USA (CISA) hat sowohl CVE-2026-20127 als auch CVE-2022-20775 in seinen Katalog der bekannten Exploited Vulnerabilities (KEV) aufgenommen und Notfallrichtlinien für Bundesbehörden herausgegeben. Diese Aufträge erfordern den Erfinder von SD-WAN-Systemen, die Anwendung von Patches und die Einreichung von detaillierten Berichten in sehr kurzer Zeit; die CISA-Note kann bei: CISA-Benachrichtigung über die Aufnahme in KEV und die entsprechenden Richtlinien und Richtlinien werden hier veröffentlicht: ED-26-03: Mitigar Schwachstellen in Cisco SD-WAN und Jagd- und Härtezuschläge.
Für Sicherheitsteams und Netzwerkmanager sollte die Priorität sofort sein: um die abgebuchten Versionen anzuwenden, die Cisco veröffentlicht hat oder um zu korrigierten Veröffentlichungen entsprechend Ihrem Guide zu migrieren. Darüber hinaus ist es angebracht, Verpflichtungssignale in den betroffenen Systemen zu auditieren; Cisco empfiehlt, die Authentifizierungsdatei (/ var / log / auth.log) auf der Suche nach Einträgen wie "Accepted publickey for vmanage-admin" von nicht erkannten IP-Adressen zu überprüfen und diese IPs mit den in der Web-Schnittstelle des Managers konfigurierten System-IPs zu vergleichen. CISA schlägt auch die Überprüfung von Datensätzen vor, die unerwartete Neuanitiationen oder Versionsdegradationen anzeigen, Debugging-Dateien und systemspezifische Spuren überprüfen.
Es geht nicht nur um das Patchen: eine vollständige Antwort beinhaltet die Überprüfung der Existenz von verdächtigen lokalen Konten, die Überprüfung vor kurzem hinzugefügt SSH-Tasten, die Überprüfung von Start- und Wiederherstellungsskripten und das Tracking von NETCONF / SSH-Bewegungen innerhalb des Managementplans. Wenn es ein Zeichen des Engagements gibt, muss davon ausgegangen werden, dass der Angreifer möglicherweise Beharrlichkeit erlangt hat und daher Planeindämmung, Tilgung und Wiederherstellung mit Änderung von Schlüsseln und Anmeldeinformationen, sichere Neuinstallation der Software gegebenenfalls und eine forensische Untersuchung, die Beweise vor Reinigungssystemen bewahrt.
Dieser Vorfall passt in einen besorgniserregenden Trend: Edge-Geräte und Netzwerkmanagementsysteme sind vorrangige Ziele für Akteure, die Einstiegspunkte mit hohem strategischen Wert suchen. Wie die Forscher darauf hingewiesen haben, erlaubt es einem Angreifer, das Verhalten des Netzes an mehreren Standorten zu beeinflussen und den Verkehr sehr schädlich zu exfiltrieren oder zu manipulieren.
Wenn Ihre Organisation Cisco Catalyst SD-WAN verwendet, ist das Wesentliche jetzt, schnell zu handeln: Überprüfen Sie Ciscos Mitteilung und technische Empfehlungen, überprüfen Sie die oben genannten Aufzeichnungen, überprüfen Sie die Integrität der lokalen Konten und Schlüssel und, falls erforderlich, koordinieren Sie mit einfallsreichen Antwortteams und den relevanten Regulierungsbehörden. Für offizielle Informationen und technische Schritte, siehe Ciscos Mitteilung und Talos Analyse, und für zwingende Maßnahmen oder Compliance-Anforderungen, folgen Sie den Richtlinien und die Einbeziehung in den CISA KEV Katalog: Cisco, Talos, NVD (CVE-2022-20775) und CISA KEV.
Die Lektion ist klar: Die Beibehaltung der kritischen Elemente der Netzinfrastruktur bis heute und die aktive Überwachung von Managementplänen ist keine optionale gute Praxis mehr, sondern eine operative Notwendigkeit, Intrusionen zu verhindern, die bis zu Kompromissen verteilte Dienstleistungen und kritische Vermögenswerte skaliert werden können.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...