Zum Inhalt springen

CISA fügt kritische Cisco SD-WAN Sicherheitslücke in KEV-Katalog auf

Auf den Punkt: CISA hat eine kritische Authentifizierungslücke (CVE-2026-93) in Cisco SD-WAN Controller in ihren KEV-Katalog aufgenommen. Bundesbehörden müssen bis Mai 2026 patchen. Die Bedrohungsgruppe UAT-8616 nutzt die Lücke bereits aktiv aus; mindestens zehn Bedrohungsgruppen exploitieren verwandte Sicherheitslücken und installieren Web-Shells auf Systemen.

Die US-amerikanische Cybersicherheitsbehörde CISA hat eine kritische Authentifizierungslücke in der Cisco Catalyst SD-WAN Controller-Software in ihren Katalog bekannter ausgenutzer Sicherheitslücken aufgenommen. Bundesbehörden müssen die Schwachstelle bis zum 17. Mai 2026 beheben.

Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat am Donnerstag eine neu offengelegte Sicherheitslücke in der Cisco Catalyst SD-WAN Controller in ihren Katalog der bekannten ausgenutzer Sicherheitslücken (KEV) aufgenommen. Bundesbehörden der Exekutive müssen die Schwachstelle bis zum 17. Mai 2026 beheben.

Die Sicherheitslücke ist eine kritische Authentifizierungslücke, die als CVE-2026-93 registriert ist und eine perfekte Bewertung von 10,0 auf der CVSS-Skala erhält – die höchstmögliche Schweregrad. Laut CISA ermöglicht die Lücke “einem nicht authentifizierten, entfernten Angreifer, die Authentifizierung zu umgehen und Administratorrechte auf einem betroffenen System zu erlangen”.

Cisco bestätigt in einem separaten Bericht mit hohem Vertrauen, dass die Bedrohungsgruppe UAT-8616 – dieselbe Gruppe, die zuvor CVE-2026-20127 ausgenutzt hat – bereits CVE-2026-20182 aktiv ausnutzt. Die Angreifer führten ähnliche Post-Compromise-Aktionen durch wie bei früheren Angriffen: SSH-Schlüssel hinzufügen, NETCONF-Einstellungen ändern und Root-Zugriff erlangen. Die Infrastruktur von UAT-8616 überschneidet sich teilweise mit sogenannten Operational Relay Box (ORB) Netzwerken.

Sicherheitsexperten beobachteten zudem, dass mehrere Bedrohungsgruppen seit März 2026 die Sicherheitslücken CVE-2026-20133, CVE-2026-20128 und CVE-2026-20122 ausnutzen. Wenn diese drei Lücken kombiniert werden, ermöglichen sie einem nicht authentifizierten Angreifer, unauthorized Zugriff auf die Geräte zu erhalten. Diese wurden bereits letzten Monat in den CISA KEV-Katalog aufgenommen.

Die Angreifer nutzen öffentlich verfügbaren Exploit-Code, um Web-Shells auf kompromittierten Systemen zu installieren und beliebige Bash-Befehle auszuführen. Eine JSP-basierte Web-Shell namens XenShell wurde identifiziert, da sie auf einem Proof-of-Concept von ZeroZenX Labs basiert. Mindestens zehn verschiedene Bedrohungsgruppen wurden mit der Ausnutzung dieser drei Sicherheitslücken in Verbindung gebracht. Cluster 1 (seit mindestens 6. März 2026 aktiv) setzt die Godzilla Web-Shell ein, während Cluster 28 (seit mindestens März 2026 aktiv) die Behinder Web-Shell nutzt.

Share on: