← Zurück zum Blog
Security Briefing 7 Min. Lesezeit

Cisco SD-WAN CVE-2026-20127 seit 2023 ausgenutzt — CarGurus 12-Mio.-Datenleck — SLH rekrutiert Frauen für Vishing

Ein CVSS-10.0-Authentication-Bypass in Cisco Catalyst SD-WAN wird seit 2023 aktiv ausgenutzt. CarGurus bestätigt 12,4 Millionen kompromittierte Nutzer durch ShinyHunters. Eine Cybercrime-Supergruppe zahlt Frauen 1.000 $ pro Anruf, um IT-Helpdesks per Social Engineering anzugreifen. Dazu: SolarWinds patcht vier kritische Serv-U-RCE-Schwachstellen und ein Rüstungsunternehmer erhält 87 Monate Haft für den Verkauf von Exploits an Russland.


Kritisch: Cisco SD-WAN Authentication Bypass (CVE-2026-20127)

CVSS 10.0 — Seit 2023 als Zero-Day ausgenutzt

Cisco hat einen Authentication Bypass mit maximaler Schwere in Cisco Catalyst SD-WAN Controller (ehemals vSmart) und SD-WAN Manager (ehemals vManage) offengelegt. Die Schwachstelle ermöglicht es entfernten, nicht authentifizierten Angreifern, sich als hochprivilegierter interner Benutzer anzumelden und das gesamte SD-WAN-Fabric über NETCONF zu manipulieren.

Was passiert ist

Die Schwachstelle basiert auf einem fehlerhaften Peering-Authentifizierungsmechanismus. Angreifer nutzen sie aus, um betrügerische Peers zur SD-WAN-Umgebung hinzuzufügen — im Wesentlichen werden bösartige Geräte injiziert, die legitim erscheinen und Traffic über vom Angreifer kontrollierte Infrastruktur routen können.

Cisco Talos verfolgt die Aktivität als UAT-8616 und ordnet sie mit hoher Zuversicht einem hochsophistizierten Bedrohungsakteur zu. Telemetriedaten zeigen Ausnutzung seit mindestens 2023. Der Akteur eskalierte zu Root, indem er die Firmware herunterstufte, um eine ältere Schwachstelle (CVE-2022-20775) auszunutzen, und stellte dann die Originalversion wieder her, um der Erkennung zu entgehen.

Die Offenlegung wurde zwischen Cisco, dem Australian Cyber Security Centre (ASD's ACSC), CISA (Notfalldirektive 26-03) und britischen Behörden koordiniert.

Wer ist betroffen

Sofortmaßnahmen

  1. Sofort patchen — Cisco hat Notfall-Updates veröffentlicht
  2. Peer-Listen überprüfen — Auf unbefugte betrügerische Peers in Ihrem SD-WAN-Fabric prüfen
  3. Firmware-Historie prüfen — Nach unerwarteten Versionsänderungen suchen (Downgrade/Upgrade-Muster)
  4. Netzwerk-Forensik — Traffic auf Verbindungen zu unbekannten Controllern inspizieren
  5. Bei ungepatchten Systemen von einem Breach ausgehen — Dies wird seit 3+ Jahren ausgenutzt

CarGurus-Datenleck: 12,4 Millionen Nutzer exponiert

Der Automobil-Marktplatz CarGurus hat ein Datenleck bestätigt, das über 12,4 Millionen Nutzer betrifft. Die ShinyHunters-Gruppe übernahm die Verantwortung und erklärte, personenbezogene Daten und interne Unternehmensdaten exfiltriert zu haben.

Dies folgt auf ShinyHunters' Angriff auf Wynn Resorts, bei dem Mitarbeiterdaten gestohlen wurden — der Eintrag wurde jedoch nach offensichtlichen Verhandlungen von der Leak-Site entfernt.

Exponierte Daten

Auswirkung: Wenn Sie oder Ihre Mitarbeiter CarGurus genutzt haben, achten Sie auf Phishing-Kampagnen, die die gestohlenen Daten nutzen. Credential-Stuffing-Angriffe werden innerhalb von Tagen erwartet.


SLH-Supergruppe zahlt 1.000 $/Anruf für Vishing-Rekruten

Die Cybercrime-Supergruppe Scattered LAPSUS$ Hunters (SLH) — ein Zusammenschluss von LAPSUS$, Scattered Spider und ShinyHunters — rekrutiert jetzt aktiv Frauen, um Voice-Phishing-Angriffe (Vishing) gegen IT-Helpdesks durchzuführen.

Social Engineering im großen Maßstab

Laut Dataminrs Threat Intelligence bietet SLH 500–1.000 $ pro Anruf plus vorgeschriebene Skripte. Die Strategie: Weibliche Stimmen könnten höhere Erfolgsraten haben, wenn sie Mitarbeiterinnen nachahmen, die beim Helpdesk nach Passwortrücksetzungen oder MFA-Umgehungen fragen.

SLH hat eine dokumentierte Geschichte von MFA-Prompt-Bombing, SIM-Swapping und Helpdesk-Social-Engineering. Diese Rekrutierungskampagne signalisiert eine Industrialisierung des Social Engineering — ein Übergang von opportunistischen Angriffen zu bezahlten, organisierten Callcenter-Operationen.

Verteidigungsempfehlungen


SolarWinds Serv-U: Vier kritische RCE-Schwachstellen

SolarWinds hat vier kritische Schwachstellen in der Serv-U-Dateiübertragungssoftware gepatcht, die Remote-Codeausführung ermöglichen könnten. Obwohl die Schwachstellen administrative Privilegien erfordern, ist Serv-U ein historisch angegriffenes Produkt (erinnern Sie sich an den Supply-Chain-Angriff von 2021).

Warum es wichtig ist

Dateiübertragungs-Appliances bleiben der häufigste initiale Zugriffsvektor für Ransomware-Gruppen. MOVEit, GoAnywhere, Citrix ShareFile — und jetzt wieder Serv-U. Wenn Sie Serv-U betreiben, patchen Sie, bevor unweigerlich Exploit-Code auftaucht.


Chinesische Cyberspionage: Dutzende Telekommunikationsunternehmen und Behörden kompromittiert

Googles Threat Intelligence Group (GTIG), Mandiant und internationale Partner haben eine globale Spionagekampagne unterbunden, die dem chinesischen Bedrohungsakteur UNC2814 zugeschrieben wird. Die Gruppe ist seit mindestens 2017 aktiv und zielt auf Organisationen in 42 Ländern ab.

Die Angreifer nutzten legitime SaaS-API-Aufrufe, um bösartigen Traffic zu verschleiern, was die Erkennung außerordentlich erschwerte. Ziele waren Telekommunikationsanbieter und Regierungsbehörden — klassische Ziele der Nachrichtensammlung.


Rüstungsunternehmer erhält 87 Monate Haft für Exploit-Verkauf an Russland

Der ehemalige US-Rüstungsunternehmer Peter Williams wurde zu 87 Monaten Bundesgefängnis verurteilt, weil er Cyber-Exploits an einen russischen Vermittler verkauft hat. Der Fall unterstreicht das anhaltende Risiko von Insider-Bedrohungen in der Verteidigungs-Lieferkette.


Supply-Chain-Ecke: Bösartige NuGet-Pakete + gefälschte Next.js-Bewerbungsgespräche

Diese Woche wurden zwei separate Supply-Chain-Kampagnen entdeckt:

Entwicklerteams: Überprüfen Sie Ihre NuGet-Abhängigkeiten und seien Sie misstrauisch gegenüber jedem Repository, das mit unaufgeforderten Bewerbungsgesprächen verlinkt ist.


UFP Technologies: Medizintechnikhersteller von Ransomware getroffen

Der amerikanische Medizintechnikhersteller UFP Technologies hat einen Cyberangriff mit bestätigtem Datendiebstahl und dateiverschlüsselnder Malware offengelegt. Der Gesundheitssektor wird weiterhin unverhältnismäßig stark angegriffen — Angreifer wissen, dass Patientendaten Premium-Lösegelder erzielen und regulatorischer Druck schnelle Zahlungen erzwingt.


Heutige Prioritätsmaßnahmen

  1. Cisco SD-WAN — CVE-2026-20127 sofort patchen (CVSS 10.0, seit 2023 ausgenutzt)
  2. SolarWinds Serv-U — Kritische RCE-Patches anwenden
  3. Helpdesk-Härtung — SLH-Vishing-Kampagne ist aktiv und skaliert
  4. CarGurus-Datenleck — Auf Credential-Stuffing und Phishing mit gestohlenen Daten überwachen
  5. Entwickler-Supply-Chain — NuGet-Pakete überprüfen, Vorsicht bei gefälschten Bewerbungs-Repos
  6. Telko/Behörden — Auf UNC2814-Indikatoren prüfen, falls in betroffenen Sektoren

Wie Kensai Sie schützt

Cisco SD-WAN-Erkennung — Scan auf CVE-2026-20127 und verwundbare Konfigurationen

Supply-Chain-Monitoring — Verfolgung bösartiger Pakete über NuGet, npm, PyPI

KI-gestützte Behebung — Patches statt nur Alarme. Automatisch generierte PRs für Ihre Codebasis.

NIS2-Compliance — Deutschsprachige Berichte für regulatorische Anforderungen

Scannen Sie Ihre Infrastruktur in 60 Sekunden

332.000+ indexierte CVEs. KI-generierte Patches. GitHub-PR-Automatisierung.

Kostenlose Testversion starten

Bleiben Sie sicher. Bleiben Sie wachsam.

🗡️ KENSAI Security Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home