Cisco SD-WAN Zero-Day CVE-2026-20245 zwei Monate vor Offenlegung ausgenutzt

Zwei Monate. So groß ist die Lücke, die Mandiant nun zwischen der aktiven Ausnutzung von CVE-2026-20245 in einem Cisco Catalyst SD-WAN-Deployment und Ciscos öffentlicher Bekanntgabe des Fehlers Anfang dieses Monats bestätigt hat. Der CVSS-Wert liegt bei 7,8, was diesen Fehler normalerweise in die zweite Dringlichkeitsstufe einordnen würde. Das operative Profil – Telekommunikationsanbieter als Ziel, Verkettung mit zwei weiteren nicht offengelegten Zero-Days, versteckter Root-Account, Anti-Forensik-Bereinigung – ähnelt jedoch eher einem staatlichen Angriff auf höchstem Niveau als einer Privilege-Escalation mit mittlerem Schweregrad.

Die Kennzahlen

Beginnen wir mit dem CVSS. Ein Wert von 7,8 klingt moderat, bis man den Zugriffsvektor liest: authentifiziert, lokal, mit erforderlichen Netadmin-Rechten. Wie The Hacker News berichtete, lautet Ciscos Darstellung, dass der Angreifer bereits Netadmin-Rechte auf dem Gerät besitzen musste. Diese Vorbedingung ist es, die den Score unter 9,0 gedrückt hat. Für sich genommen ist diese Einschätzung technisch vertretbar. Im Kontext ist sie jedoch irreführend, denn der Angreifer hat sich den Weg zu Netadmin über zwei weitere Zero-Days (CVE-2026-20127 und CVE-2026-20182) gebahnt, die zu diesem Zeitpunkt ebenfalls nicht offengelegt waren. Der effektive Schweregrad von einem nicht authentifizierten Ausgangspunkt war damit deutlich höher als 7,8 vermuten lässt.

Der zeitliche Ablauf ist entscheidend. Mandiant identifizierte zwei verschiedene Aktivitätsphasen. Die erste erstreckte sich von Ende 2025 bis Januar 2026. Die zweite fand im März 2026 statt. Ciscos Offenlegung erfolgte im Juni 2026. Das ergibt ein sechsmonatiges Fenster vom ersten bekannten Einbruch bis zur öffentlichen CVE-Veröffentlichung und ein mindestens zweimonatiges Fenster zwischen aktiver Ausnutzung und dem Patch-Advisory. Für ein Infrastrukturelement am Rand des Netzwerks eines Kommunikationsdienstleisters ist das ein langer blinder Fleck.

Die Angriffskette selbst ist es wert, sie aufzuführen. Erste Welle: nicht autorisierte Peering-Verbindungen über CVE-2026-20127 oder CVE-2026-20182, beide Zero-Days. Zweite Welle im März 2026: Das Zielgerät war gegen CVE-2026-20127 gepatcht worden, und Cisco bestätigte, dass CVE-2026-20182 nicht verwendet wurde – als führende Hypothese für den erneuten Zugang gelten daher gestohlene Zertifikate aus dem vorangegangenen Einbruch. Einmal wieder drin, rotierte der Angreifer das Standard-Admin-Passwort, lud eine schädliche CSV-Datei namens evil_tenant.csv hoch, um CVE-2026-20245 auszulösen, eskalierte zu Root und erstellte dann einen troot-Account, der direkt in /etc/passwd und /etc/shadow geschrieben wurde. Nach der Exfiltration der SD-WAN-Fabric-Konfiguration wurde das Admin-Passwort auf seinen ursprünglichen Wert zurückgesetzt, sodass beim nächsten Login nichts auffiel.

Die Quelle legt nicht offen, welcher Kommunikationsdienstleister betroffen war, wie viel der Fabric-Konfiguration exfiltriert wurde oder ob hinter den beiden Aktivitätsfenstern derselbe Akteur steckt. Diese letzte Unbekannte ist bedeutsam: Handelt es sich um eine Gruppe, beobachten wir eine persistente Kampagne mit operativer Disziplin über mehrere Quartale. Handelt es sich um zwei unabhängige Gruppen, beobachten wir eine Geräteklasse, die unabhängig voneinander als leichtes Ziel wiederentdeckt wird – was man durchaus als schlimmer betrachten kann.

Was wirklich neu ist

Zero-Days auf Edge-Geräten sind nicht neu. Was diesen Vorfall unterscheidet, ist die Qualität der Bereinigung, nicht des Einbruchs. Das Mandiant-Team dokumentierte die selektive Löschung und Wiederherstellung von Systemkonfigurationsdateien, das Zurücksetzen des Passworts auf den ursprünglichen Wert und – das Detail, das ich als aufschlussreichstes einstufen würde – ein Validierungsskript, das der Angreifer ausführte, um zu bestätigen, dass seine Indicators of Compromise (IOCs) beseitigt worden waren. Das ist QA-Disziplin, angewendet auf die Bereinigung nach einem Einbruch.

Die Platzierung des troot-Accounts ist ebenfalls lehrreich. Das Schreiben in /etc/passwd und /etc/shadow ist nicht subtil – es ist der klassische Linux-Persistenz-Move aus dem Lehrbuch. Die Kombination mit selektiver Dateiwiederherstellung und einem Selbstprüf-Skript deutet jedoch darauf hin, dass der Angreifer davon ausging, dass forensische Ermittler irgendwann nachschauen würden, und sich auf dieses Szenario vorbereitet hat, anstatt darauf zu hoffen, unentdeckt zu bleiben.

Das zweite neue Element ist die Hypothese zum erneuten Zugang. Bei der Welle im März 2026 bestätigte Cisco, dass das gepatchte Gerät nicht über eine der ursprünglichen Authentifizierungs-Bypass-Schwachstellen erneut kompromittiert wurde. Mandiants führende Theorie lautet, dass Zertifikate, die beim Einbruch Ende 2025 gestohlen wurden, für den initialen Zugang wiederverwendet wurden. Wenn das stimmt, validiert dies ein Muster, das für die meisten Enterprise-Security-Teams bisher theoretisch war: Eine gepatchte Schwachstelle schließt nicht die Tür, wenn der Angreifer mit dem Vertrauensmaterial des Unternehmens abgezogen ist. Für SD-WAN-Fabrics im Besonderen, wo die Peer-Authentifizierung stark auf vom Controller ausgestellten Zertifikaten basiert, ist das ein architektonisches Problem – kein Patching-Problem.

Charles Carmakal, CTO von Mandiant Consulting, brachte den Punkt auf LinkedIn unmissverständlich auf den Punkt: Fortgeschrittene Angreifer zielen weiterhin primär auf Netzwerkgeräte und andere Systeme ab, die EDR nativ nicht unterstützen. Diese Beobachtung ist nicht neu, aber der Beweisstack dahinter wächst stetig. Googles Einordnung des Vorfalls als Teil eines „anhaltenden Trends" der Zero-Day-Bewaffnung gegen Edge-Geräte ist die höfliche Version der Aussage, dass die Branche bei dieser Angriffsfläche seit Jahren keine Fortschritte gemacht hat. Die TTPs lassen sich sauber auf die MITRE ATT&CK-Matrix abbilden, aber Mapping ist nicht gleich Erkennung – und auf diesen Geräten gibt es oft keine Telemetrie, gegen die man mappen könnte.

Was Security-Teams bereits eingepreist haben

Wenn Sie SD-WAN, Fintech-Infrastruktur oder eine Kryptobörse betreiben, deren interner Datenverkehr über ein verwaltetes Netzwerk-Fabric läuft, ist die übergeordnete Botschaft hier bereits bekannt. Edge-Geräte werden unzureichend überwacht. Cisco, Fortinet, Ivanti und Palo Alto haben in den vergangenen 18 Monaten alle ihren Auftritt als führender Anbieter in genau dieser Geschichte gehabt. Niemand in einem ernsthaften Security-Team ist überrascht, dass ein SD-WAN-Appliance über einen verketteten Zero-Day kompromittiert wurde.

Was noch nicht eingepreist ist – und was die meisten Teams nach meiner Einschätzung noch zu wenig gewichten –, ist der Zertifikat-Wiederverwendungsvektor. Das Standard-Incident-Response-Playbook nach einer Netzwerkgeräte-Kompromittierung lautet: patchen, Admin-Anmeldedaten rotieren, Konfigurationen prüfen. Die Rotation der Zertifikatsvertrauenskette über das gesamte Fabric ist schwieriger, disruptiver und wird routinemäßig aufgeschoben. Der erneute Zugang im März 2026 in diesem Vorfall ist ein reales Beispiel dafür, dass das Aufschieben teuer werden kann.

Ebenfalls untergewichtet: die Annahme, dass eine CVE mit CVSS 7,8, die Netadmin-Rechte erfordert, in der Patch-Queue gefahrlos nachrangig behandelt werden kann. Die Ausnutzungskette in diesem Fall macht diese Vorbedingung zu einem Kontrollkästchen, das der Angreifer bereits anderswo ausgefüllt hatte. Patch-SLAs, die nach reinem CVSS-Score priorisieren, ohne die Verkettbarkeit zu berücksichtigen, werden weiterhin solche Post-Mortems produzieren. Es lohnt sich, den Patch-Rückstand mit dem CISA KEV-Katalog abzugleichen, anstatt sich allein auf CVSS zu verlassen.

Die Gegenthese

Die einhellige Interpretation dieses Vorfalls wird lauten: Edge-Geräte brauchen EDR, Hersteller müssen bessere Telemetrie liefern, Verteidiger brauchen tiefere forensische Einblicke in Netzwerk-Appliances. Alles wahrscheinlich zutreffend. Die Gegenthese lautet, dass nichts davon in dem erforderlichen Tempo geschehen wird, weil die Appliance-Hersteller einen strukturellen Anreiz haben, ihre Geräte undurchsichtig zu halten (Supportverträge, Supportgrenzen, Performance-Overhead), und weil Betreiber einen strukturellen Anreiz haben, keine Drittanbieter-Agenten auf umsatzkritischer Netzwerkhardware einzusetzen.

Wenn das stimmt, besteht die praktische Antwort nicht darin, auf Telemetrie-Parität mit Endpoints zu warten. Stattdessen sollte man davon ausgehen, dass das SD-WAN-Fabric standardmäßig kompromittiert ist, und das umgebende Netzwerk so gestalten, dass eine Root-Shell auf einem Controller keinen Zugang zu unverschlüsseltem Kundendatenverkehr, Signing-Keys oder Lateral Movement in die Kerninfrastruktur bedeutet. Das ist eine architektonische Haltung, kein Tooling-Problem, und sie ist unbequem anzunehmen, weil sie impliziert, dass das Netzwerkgerät, für das man siebenstellige Beträge gezahlt hat, nicht vertrauenswürdig ist. Die Mandiant-Offenlegung macht es leichter, diese Haltung gegenüber einem Vorstand zu rechtfertigen, als es noch vor sechs Monaten der Fall war.

Wichtigste Erkenntnisse

• CVSS 7,8 unterschätzt das tatsächliche Risiko. CVE-2026-20245 erforderte zur Ausnutzung Netadmin-Rechte, aber der Angreifer gelangte über zwei weitere nicht offengelegte Zero-Days dorthin. Eine chain-bewusste Triage schlägt reine Scoring-Methoden.
• Mindestens zwei Monate Ausnutzungsfenster vor der Offenlegung. Wer Cisco Catalyst SD-WAN betreibt, sollte davon ausgehen, dass das Patch-Advisory der realen Aktivität hinterherhinkte, und rückwirkend nach Spuren suchen.
• Zertifikate überleben Patches. Der erneute Zugang im März 2026 erfolgte wahrscheinlich über gestohlene Zertifikate aus dem früheren Einbruch. Nach einer Controller-Kompromittierung muss die Vertrauenskette rotiert werden – nicht nur die Anmeldedaten.
• Nach troot- und evil_tenant.csv-Artefakten suchen in /etc/passwd, /etc/shadow und CSV-Upload-Logs – aber davon ausgehen, dass ein kompetenter Akteur bereits ein Validierungsskript ausgeführt hat, um sie zu beseitigen.
• Die offene Frage: Steckt hinter den Wellen von Ende 2025 und März 2026 derselbe Akteur? Mandiant sagt es nicht. Wenn ja, ist mit einer dritten Welle zu rechnen, sobald der nächste nicht offengelegte Auth-Bypass auftaucht. Eine prüfbare Annahme: Wenn ein Zusammenhang besteht, sollte eine Folgeveröffentlichung einer verwandten Cisco SD-WAN Auth-Schwachstelle innerhalb der nächsten zwei Quartale erscheinen.