Cisco SD-WAN im Visier: CISA und internationale Partner warnen vor aktiven Angriffen

Behörden und Organisationen weltweit, die Cisco SD-WAN-Systeme betreiben, stehen im Fokus koordinierter Cyberangriffe. Die US-amerikanische Cybersicherheitsbehörde CISA hat gemeinsam mit internationalen Partnern eine Warnmeldung herausgegeben und konkrete Handlungsempfehlungen formuliert – begleitet von einer Notfallrichtlinie für US-Bundesbehörden. Die Angriffe folgen einem klar erkennbaren Muster und zeigen, wie systematisch Angreifer bekannte wie auch neu entdeckte Schwachstellen kombinieren.

Angreifer nehmen derzeit gezielt Cisco SD-WAN-Systeme (Software-Defined Wide-Area Networking) ins Visier und verschaffen sich darüber dauerhaften Zugang zu Netzwerken von Behörden und Unternehmen weltweit. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat daraufhin am 25. Februar 2026 zwei Sicherheitslücken – CVE-2026-20127 und CVE-2022-20775 – in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. Der Schritt unterstreicht die Dringlichkeit, mit der Behörden auf die laufenden Angriffe reagieren.

Angriffsmuster: Zwei Schwachstellen, ein Ziel

Die beobachteten Angriffe folgen einem zweistufigen Muster. In einem ersten Schritt nutzen die Angreifer CVE-2026-20127, eine bislang nicht öffentlich bekannte Schwachstelle zur Umgehung der Authentifizierung, um initialen Zugang zu Cisco SD-WAN-Systemen zu erlangen. Dabei handelt es sich um eine sogenannte Zero-Day-Lücke, die zum Zeitpunkt ihrer Ausnutzung noch nicht allgemein bekannt war – was die Erkennung und Abwehr entsprechend erschwert hat.

Im Anschluss setzen die Angreifer CVE-2022-20775 ein, um ihre Zugriffsrechte innerhalb der kompromittierten Systeme auszuweiten. Ziel ist es offenbar, sich dauerhaft in der Infrastruktur einzunisten und die Systeme langfristig unter Kontrolle zu halten. Dieses Vorgehen – der Wechsel von initialem Zugriff zu Rechteausweitung und persistenter Präsenz – entspricht dem Muster staatlich gesteuerter oder professionell agierender Bedrohungsakteure, auch wenn eine konkrete Zuordnung in der Warnmeldung nicht vorgenommen wird.

Koordinierte Reaktion auf internationaler Ebene

Die Warnmeldung ist das Ergebnis einer engen Zusammenarbeit zwischen mehreren nationalen Cybersicherheitsbehörden. Neben der CISA und der National Security Agency (NSA) sind das Australian Cyber Security Centre (ACSC) des Australian Signals Directorate (ASD), das kanadische Centre for Cyber Security, das neuseeländische National Cyber Security Centre (NCSC-NZ) sowie das britische National Cyber Security Centre (NCSC-UK) an der gemeinsamen Initiative beteiligt. Die Einbindung dieser Partner verdeutlicht, dass die Angriffe nicht auf einzelne Länder oder Regionen beschränkt sind, sondern ein globales Ausmaß haben.

Gemeinsam fordern die beteiligten Behörden Netzwerkverantwortliche auf, umgehend tätig zu werden. Dabei werden fünf Sofortmaßnahmen priorisiert: Zunächst sollen alle im Einsatz befindlichen Cisco SD-WAN-Systeme vollständig inventarisiert werden. Parallel dazu empfehlen die Behörden, relevante Artefakte zu sichern – darunter virtuelle Snapshots und Systemprotokolle –, die als Grundlage für eine anschließende Bedrohungsanalyse dienen können. Darüber hinaus sind alle verfügbaren Sicherheitsupdates zeitnah einzuspielen. Gleichzeitig sollen betroffene Systeme aktiv auf Anzeichen einer Kompromittierung untersucht werden. Abschließend verweisen die Behörden auf die aktuellen Sicherheitshinweise von Cisco sowie den verfügbaren Härtungsleitfaden, den Organisationen unverzüglich umsetzen sollen.

Notfallrichtlinie verpflichtet US-Bundesbehörden zum Handeln

Über die allgemeinen Empfehlungen hinaus hat die CISA für Behörden des Federal Civilian Executive Branch (FCEB) die Notfallrichtlinie ED 26-03 erlassen. Diese Richtlinie verpflichtet die betroffenen Stellen verbindlich dazu, ihre Cisco SD-WAN-Systeme zu inventarisieren, verfügbare Updates einzuspielen und die Systeme auf mögliche Kompromittierungen zu überprüfen. Eine ergänzende Anweisung zur Richtlinie konkretisiert die geforderten Maßnahmen weiter und gibt den Behörden einen strukturierten Rahmen für die Bedrohungssuche sowie die Systemhärtung an die Hand.

Die Kombination aus allgemeiner Warnmeldung und verbindlicher Richtlinie für Bundesbehörden zeigt, wie ernst die Lage von den US-Behörden eingeschätzt wird. Notfallrichtlinien dieser Art werden von der CISA nur dann herausgegeben, wenn von einer erheblichen und unmittelbaren Bedrohung für die Sicherheit von Bundesnetzwerken ausgegangen wird.

Härtungsmaßnahmen: Was Organisationen jetzt tun sollten

Der Cisco Catalyst SD-WAN Hardening Guide, auf den die Behörden ausdrücklich verweisen, enthält eine Reihe konkreter technischer Empfehlungen. An erster Stelle stehen Maßnahmen zur Absicherung des Netzwerkperimeters: Steuerungskomponenten sollten hinter einer Firewall betrieben werden, VPN-Schnittstellen – insbesondere VPN 512 – sind zu isolieren, und für manuell bereitgestellte Edge-IPs empfiehlt sich die Nutzung definierter IP-Blöcke.

Darüber hinaus sollte das standardmäßig verwendete selbstsignierte Zertifikat der Web-Oberfläche des SD-WAN-Managers durch ein vertrauenswürdiges Zertifikat ersetzt werden, um Man-in-the-Middle-Angriffe zu erschweren. Für die Sicherheit von Steuerungs- und Datenebene empfiehlt Cisco die Verwendung paarweiser Schlüssel. Sitzungszeitlimits sollten auf das kleinstmögliche Intervall reduziert werden, um unbefugten Zugriff über inaktive Sitzungen zu minimieren. Schließlich wird empfohlen, alle Protokolldaten an einen externen Syslog-Server weiterzuleiten, um eine unabhängige Auswertung und Nachvollziehbarkeit sicherzustellen.

Threat Hunt Guide als praktische Unterstützung

Ergänzend zu den Härtungsempfehlungen stellt die australische ACSC einen Threat Hunt Guide bereit, der gemeinsam von CISA, NSA, dem kanadischen Cyber Centre, NCSC-NZ und NCSC-UK abgestimmt wurde. Das Dokument basiert auf Erkenntnissen aus laufenden Untersuchungen und soll Netzwerkverteidigern dabei helfen, Anzeichen einer Kompromittierung in Cisco SD-WAN-Umgebungen zu erkennen und angemessen darauf zu reagieren. Es richtet sich damit an Sicherheitsteams, die ihre Systeme bereits im Betrieb haben und nun prüfen möchten, ob eine Infiltration stattgefunden hat.

Angesichts der laufenden Angriffe und der Aufnahme der betroffenen Schwachstellen in den KEV-Katalog sollten Organisationen, die Cisco SD-WAN-Systeme betreiben, die empfohlenen Maßnahmen ohne Verzögerung umsetzen – unabhängig davon, ob bereits konkrete Hinweise auf eine Kompromittierung vorliegen.

Auch interessant:

---