heise PlusAbo
Anzeige
Alert!

Cisco: Angreifer dringen seit drei Jahren über Sicherheitslücke in Netzwerke ein

Angreifer nutzen eine kritische Schwachstelle in Cisco Catalyst SD-WAN Controller aus. Cisco patcht noch weitere Produkte wie Nexus 9000.

vorlesen Druckansicht 8 Kommentare lesen

(Bild: solarseven/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Netzwerkadmins, die IT-Infrastrukturen in Unternehmen mit Cisco Catalyst SD-WAN Controller managen, sollten die Anwendung aufgrund von laufenden Attacken umgehend auf den aktuellen Stand bringen. Durch das Ausnutzen einer Sicherheitslücke verschaffen sich Angreifer Zugriff auf Netzwerke und setzen sich darin fest. Zum jetzigen Zeitpunkt sind nicht alle Sicherheitspatches verfügbar.

Jetzt updaten!

Sicherheitsforscher von Cisco Talos führen in einem Beitrag aus, dass die Attacken schon seit mindestens drei Jahren laufen. Wer konkret hinter den Angriffen steckt, ist bislang unbekannt. Die Forscher fassen die Bedrohung unter der Bezeichnung „UAT-8616“ zusammen. Sie gehen davon aus, dass dahinter hochentwickelte Bedrohungsakteure („highly sophisticated cyber threat actor“) stecken. Die US-Sicherheitsbehörde CISA hat eine Notfallanweisung veröffentlicht. Sie stuft die Attacken als staatliche Bedrohung ein und ordnet Behörden dazu an, die Sicherheitspatches bis zum 27. Februar zu installieren.

Wie aus einer Warnmeldung von Cisco hervorgeht, sind konkret Catalyst SD-WAN Controller und Catalyst SD-WAN Manager von den Attacken betroffen. Weil ein Peering-Authentifizierungsmechanismus nicht korrekt funktioniert (CVE-2026-20127 „kritisch“ CVSS Score 10 von 10), setzen Angreifer mit speziellen Anfragen an verwundbaren Systemen an. Sind Attacken erfolgreich, greifen sie mit hohen Nutzerrechten auf Instanzen zu und setzen sich in Netzwerken fest.

In der Warnmeldung listet Cisco Indicators of Compromise auf, an denen Admins bereits attackierte Systeme erkennen können. Aufgrund des Schweregrads bekommen sogar einige nicht mehr im Support befindliche Versionen wie 20.11 Sicherheitsupdates. Bei Ausgaben vor 20.9 ist aber ein Upgrade fällig, um Sicherheitspatches zu erhalten. Gegen die geschilderte Attacke sind die folgenden Versionen abgesichert:

  • 20.12.6.1
  • 20.12.5.3
  • 20.15.4.2
  • 20.18.2.1

Die Version 20.9.8.2 soll am 27. Februar folgen.

Videos by heise

Setzen Angreifer an fünf weiteren „kritischen“ Lücken (etwa CVE-2026-20122) in Catalyst SD-WAN an, können sie sich Root-Rechte verschaffen und Systeme kompromittieren. Überdies sind noch unter anderem Nexus 3600 und 9000, NX-OS und UCS angreifbar. Hier kann es unter anderem zu DoS-Zuständen kommen. Weitere Informationen zu den Schwachstellen und Sicherheitsupdates listet der Netzwerkausrüster im Sicherheitsbereich seiner Website auf.

(des)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten