Cisco-SD-WAN: Zero-Day öffnete Weg zu Root-Rechten
Ein Angreifer nutzte eine inzwischen geschlossene Zero-Day-Lücke in Cisco Catalyst SD-WAN, um aus einem kompromittierten Administratorkonto vollständige Root-Rechte zu machen. Der Fall zeigt, warum zentrale Netzwerksteuerungen für Spionage und verdeckte Zugriffe besonders attraktiv sind.
Mandiant hat einen Angriff auf die Software-Defined-Wide-Area-Network-Infrastruktur (SD-WAN) eines Kommunikationsdienstleisters offengelegt. Im Mittelpunkt steht CVE-2026-20245, eine Schwachstelle in Cisco Catalyst SD-WAN. Sie erlaubte es einem bereits angemeldeten Angreifer mit administrativen Rechten, über eine manipulierte Datei Befehle mit Root-Rechten auszuführen.
Das ist besonders kritisch, weil SD-WAN-Systeme nicht irgendein Randgerät sind. Sie steuern, verbinden und verwalten Datenverkehr zwischen Standorten, Cloud-Diensten und internen Netzen. Wer dort Root-Zugriff erhält, kontrolliert nicht nur ein einzelnes System, sondern potenziell eine zentrale Schaltstelle der Unternehmenskommunikation. Mandiant betont allerdings nicht, dass der Angreifer tatsächlich den gesamten internen Datenverkehr mitgelesen hat. Wegen gelöschter Spuren und begrenzter Gerätetelemetrie lässt sich der Umfang der Folgeaktivitäten nicht sicher bestimmen.
Zwei Phasen, ein unklarer Zusammenhang
Die Untersuchung zeigt zwei getrennte Aktivitätszeiträume. Von Ende 2025 bis Januar 2026 registrierte das betroffene Unternehmen unbefugte Peering-Verbindungen. Peering bezeichnet im SD-WAN die vertrauenswürdige Verbindung zwischen Komponenten wie Controllern, Routern und Gateways. Mandiant hält es für möglich, dass dabei eine von zwei damals noch unbekannten Authentifizierungsumgehungen ausgenutzt wurde: CVE-2026-20127 oder CVE-2026-20182. Zu diesem Zeitpunkt waren beide Lücken weder öffentlich bekannt noch gepatcht.
Im März 2026 folgte eine zweite Welle bösartiger Peering-Verbindungen. Sie traf ein Gerät mit neuerer Software, das gegen CVE-2026-20127 nicht anfällig war. Cisco bestätigte zudem, dass CVE-2026-20182 in diesem Fall nicht verwendet wurde. Damit rückt ein anderes Szenario in den Vordergrund: Die Angreifer könnten gestohlene Zertifikate aus einer früheren Kompromittierung genutzt haben, um sich erneut Zugang zu verschaffen. Ob beide Phasen auf denselben Akteur zurückgehen, bleibt offen.
Manipulierte CSV-Datei als Hebel
Nach dem Zugang änderten die Angreifer die Standard-Anmeldedaten des Administratorkontos. Anschließend nutzten sie CVE-2026-20245 über den Upload der Datei „evil_tenant.csv“ aus. Die präparierte CSV-Datei diente nicht als harmlose Konfigurationsdatei, sondern als Träger für Befehle, die auf dem Gerät ausgeführt wurden.
Dadurch entstanden Root-Rechte. Konkret legten die Angreifer ein neues Benutzerkonto mit dem Namen „troot“ an. Dieses Konto erhielt vollständigen Root-Shell-Zugriff und damit die höchste Berechtigungsstufe auf dem System. Aus einem kompromittierten Administrationszugang wurde so die volle Kontrolle über das betroffene SD-WAN-Gerät.
Technisch handelt es sich um eine Befehlsinjektion. Die Ursache lag in einer unzureichenden Prüfung hochgeladener Dateien. Cisco beschreibt, dass ein Angreifer dafür bereits gültige Rechte auf Netadmin-Ebene benötigt oder diese über andere Schwachstellen erlangen muss. Genau diese Kettenbildung macht den Fall relevant: Einzelne Lücken werden nicht isoliert genutzt, sondern zu einem Angriffsweg verbunden.
Spuren gelöscht, Zustand wiederhergestellt
Die Angreifer handelten auffällig vorsichtig. Sie löschten erstellte Dateien, stellten Konfigurationen zurück und setzten Skripte ein, um zu prüfen, ob verräterische Spuren noch vorhanden waren. Auch Passwortänderungen wurden offenbar so rückgängig gemacht, dass ein Administrator beim normalen Einloggen keinen Verdacht schöpfen sollte.
Für die Analyse ist das problematisch. Netzwerkgeräte liefern häufig weniger Telemetrie als klassische Server oder Arbeitsplatzsysteme. Wenn ein Angreifer zusätzlich Logs, Dateien und Konfigurationsänderungen bereinigt, bleibt oft nur ein unvollständiges Bild. Mandiant spricht deshalb von einem Muster, bei dem Angreifer gezielt „am Rand“ der Infrastruktur leben: auf Appliances, Controllern und Gateways, die viel Macht im Netz haben, aber schwerer zu überwachen sind.
Was Unternehmen jetzt prüfen sollten
Betreiber von Cisco Catalyst SD-WAN sollten betroffene Systeme auf feste Softwarestände bringen und die von Cisco genannten Versionen priorisieren. Ebenso wichtig ist eine forensische Prüfung: verdächtige Peering-Verbindungen, unerwartete Secure-Shell-Logins (SSH), Passwortänderungen am Administratorkonto, Hinweise auf „evil_tenant.csv“ und Spuren eines Kontos namens „troot“ sollten untersucht werden.
Der Fall zeigt, dass SD-WAN-Sicherheit nicht bei Patches endet. Entscheidend sind getrennte Managementzugänge, starke Zertifikatskontrolle, enges Logging, regelmäßige Konfigurationsprüfungen und eine Überwachung der Kontrollinstanzen. Wer zentrale Netzwerksteuerungen wie normale Infrastruktur behandelt, übersieht ihr eigentliches Risiko: Sie sind nicht nur Transportweg, sondern Steuerzentrale.
Weitere technische Details sowie Maßnahmen zur Behebung der Schwachstelle finden sich im Google Blogbeitrag.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
