Ausnutzung einer Zero-Day-Sicherheitslücke in Cisco Catalyst SD-WAN

Ausnutzung einer Zero-Day-Sicherheitslücke in Cisco Catalyst SD-WAN

Ausnutzung einer Zero-Day-Sicherheitslücke in Cisco Catalyst SD-WAN.

Mandiant hat neue Forschungsergebnisse veröffentlicht. Diese beschreiben detailliert, wie ein Bedrohungsakteur eine inzwischen gepatchte Zero-Day-Sicherheitslücke in Cisco Catalyst SD-WAN (CVE-2026-20245) bei einem Kommunikationsdienstleister ausgenutzt hat. Damit hat er die Rechte eines kompromittierten Administratorkontos auf vollständigen Root-Zugriff ausgeweitet.

Zusammenfassung (TL; DR):

  • Ein Bedrohungsakteur nutzte Anfang 2026 gestohlene Zertifikate und eine Zero-Day-Schwachstelle (CVE-2026-20245) in Cisco Catalyst SD-WAN. Damit hat er Root-Rechte erlangt und das bösartige Konto „troot“ angelegt.
  • Um Entdeckung und forensische Analysen zu verhindern, setzten die Angreifer konsequente Anti-Forensik-Techniken ein.
  • Zur Absicherung müssen betroffene Unternehmen die von Cisco bereitgestellten Sicherheitsupdates dringend einspielen.

Bekannte Zeitleiste und zwei voneinander unterscheidbare Aktivitätsphasen

Während der Untersuchung beobachtete Mandiant zwei getrennte Zeiträume unbefugter Aktivitäten. Ob diese miteinander in Zusammenhang stehen, ist derzeit unklar.

Ende 2025 bis Januar 2026: Das betroffene Unternehmen stellte unbefugte Peering-Verbindungen fest. Hier haben Kriminelle möglicherweise eine von zwei Authentifizierungsumgehungen (CVE-2026-20127 oder CVE-2026-20182) ausgenutzt. Zum damaligen Zeitpunkt waren beide Schwachstellen noch nicht öffentlich bekannt (Zero-Days), und es standen keine Patches zur Verfügung. Mandiant kann nicht bestätigen, ob derselbe Bedrohungsakteur auch für die späteren Aktivitäten verantwortlich war.

März 2026: Eine zweite Welle bösartiger Peering-Verbindungen richtete sich gegen ein Gerät mit einer neueren Softwareversion, die gegen CVE-2026-20127 nicht anfällig war. Ob dies mit den zuvor beschriebenen Vorfällen zusammenhängt, ist nicht bekannt.

Cisco bestätigte außerdem, dass auch CVE-2026-20182 bei diesen Verbindungen nicht ausgenutzt wurde. Das deutet darauf hin, dass die Angreifer möglicherweise gestohlene Zertifikate nutzten, um sich zunächst Zugang zu verschaffen.

Berechtigung auf Root-Ebene ausgeweitet

Anschließend änderten die Angreifer die Standard-Anmeldedaten des Administratorkontos und nutzten CVE-2026-20245 als Zero-Day über den Upload einer manipulierten CSV-Datei (evil_tenant.csv) aus. Dadurch konnten sie ihre Berechtigungen auf Root-Ebene erweitern. Außerdem legten sie ein bösartiges Benutzerkonto mit dem Namen „troot“ an, das vollständigen Root-Shell-Zugriff ermöglichte.

Die Angreifer verwischten ihre Spuren konsequent, indem sie Dateien löschten, Konfigurationsänderungen rückgängig machten. Sie führten auch Skripte aus, um sicherzustellen, dass keine Beweise zurückblieben. In Kombination mit den naturgemäß eingeschränkten Telemetriedaten dieser Geräte erschwerten diese Anti-Forensik-Maßnahmen die Bewertung des tatsächlichen Ausmaßes der Kompromittierung erheblich.

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung