Sicherheitslücke: Hacker infiltrieren über Cisco-Systeme seit Jahren Netzwerke

Der Netzwerkausrüster Cisco warnt vor mehreren kritischen Sicherheitslücken, von denen mindestens eine schon seit 2023 ausgenutzt wird. Als anfällig gelten die unter anderem in vielen Datenzentren und Cloudumgebungen eingesetzten Produkte Cisco Catalyst SD-WAN Controller (ehemals vSmart) und Cisco Catalyst SD-WAN Manager (ehemals vManage). Admins sollten zügig patchen.

Bei der aktiv ausgenutzten Sicherheitslücke handelt es sich um CVE-2026-20127(öffnet im neuen Fenster) . Mit einem maximal möglichen CVSS-Wert von 10,0 gilt sie als kritisch. Laut Beschreibung können Angreifer mithilfe speziell gestalteter Anfragen einen Fehler im Peering-Authentifizierungsmechanismus ausnutzen, um einen Admin-Zugriff zu erlangen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: IT Sicherheitstests und Ethical Hacking mit Kali Linux (E-Learning)

zum Kurs

"Ein erfolgreicher Angriff könnte es dem Angreifer ermöglichen, sich bei einem betroffenen Cisco Catalyst SD-WAN Controller mit einem internen, hochprivilegierten Nicht-Root-Benutzerkonto anzumelden" , erklärt Cisco. Anschließend könne dieser Zugriff etwa ausgenutzt werden, um Netzwerkkonfigurationen gezielt zu manipulieren.

Per Downgrade zum Root-Zugriff

Nähere Details zu den beobachteten Angriffen sind in einem Blogbeitrag von Cisco Talos(öffnet im neuen Fenster) zu finden. Die Cisco-Forscher schreiben die Attacken einem "äußert raffinierten Cyberakteur" namens UAT-8616 zu. Dieser soll sich nach erfolgreichem Zugriff auf anfällige Cisco-Systeme per Software-Downgrade und die anschließende Ausnutzung einer älteren Sicherheitslücke ( CVE-2022-20775(öffnet im neuen Fenster) ) Root-Rechte verschafft haben.

Administratoren, die ein paar nützliche Hinweise zur Erkennung und Eindämmung der Angriffe suchen, finden diese nicht nur bei Cisco Talos und im Security Advisory zu CVE-2026-20127(öffnet im neuen Fenster) , sondern ebenso in einer Notfalldirektive der US-Cybersicherheitsbehörde Cisa(öffnet im neuen Fenster) sowie einer Meldung des britischen National Cyber Security Centre(öffnet im neuen Fenster) (NCSC).

Darüber hinaus sollten die anfälligen Cisco-Systeme zügig gepatcht werden. Eine vollständige Liste der angreifbaren und jeweils gepatchten Versionsnummern gibt es in der Cisco-Meldung(öffnet im neuen Fenster) . Die neuesten Updates einzuspielen lohnt sich aber nicht nur wegen CVE-2026-20127. In einem separaten Advisory(öffnet im neuen Fenster) nennt Cisco fünf weitere kritische Lücken, die damit ebenfalls geschlossen wurden.

• Anzeige Hier geht es zur AVM Fritzbox 7590 AX bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.