← Zurück zum Blog
Sicherheitsbriefing 7 Min. Lesezeit

Cisco SD-WAN CVE-2026-20127 seit 2023 ausgenutzt — CarGurus 12M Datenleck — SLH rekrutiert Frauen für Vishing

Eine CVSS 10.0 Authentifizierungsumgehung in Cisco Catalyst SD-WAN wird seit 2023 aktiv ausgenutzt. CarGurus bestätigt Kompromittierung von 12,4 Millionen Nutzern durch ShinyHunters. Eine Cybercrime-Supergruppe zahlt Frauen 1.000 $ pro Anruf für Social Engineering gegen IT-Helpdesks. Dazu: SolarWinds patcht vier kritische Serv-U RCE-Schwachstellen und ein Rüstungsunternehmer erhält 87 Monate Haft für den Verkauf von Exploits an Russland.


Kritisch: Cisco SD-WAN Authentifizierungsumgehung (CVE-2026-20127)

CVSS 10.0 — Seit 2023 als Zero-Day ausgenutzt

Cisco hat eine Schwachstelle mit maximalem Schweregrad zur Authentifizierungsumgehung im Cisco Catalyst SD-WAN Controller (ehemals vSmart) und SD-WAN Manager (ehemals vManage) offengelegt. Die Sicherheitslücke ermöglicht es entfernten, nicht authentifizierten Angreifern, sich als hochprivilegierter interner Benutzer anzumelden und die gesamte SD-WAN-Infrastruktur über NETCONF zu manipulieren.

Was ist passiert

Die Schwachstelle liegt in einem fehlerhaften Peering-Authentifizierungsmechanismus. Angreifer nutzen sie aus, um nicht autorisierte Peers in die SD-WAN-Umgebung einzuschleusen — effektiv werden bösartige Geräte injiziert, die legitim erscheinen und den Datenverkehr über vom Angreifer kontrollierte Infrastruktur leiten können.

Cisco Talos verfolgt die Aktivität unter dem Namen UAT-8616 und schreibt sie mit hoher Zuversicht einem hochentwickelten Bedrohungsakteur zu. Telemetriedaten zeigen, dass die Ausnutzung mindestens bis 2023 zurückreicht. Der Akteur eskalierte zu Root-Rechten, indem er die Firmware herunterstufte, um eine ältere Schwachstelle (CVE-2022-20775) auszunutzen, und anschließend die ursprüngliche Version wiederherstellte, um der Erkennung zu entgehen.

Die Offenlegung erfolgte koordiniert zwischen Cisco, dem Australian Cyber Security Centre (ASD's ACSC), CISA (Emergency Directive 26-03) und britischen Behörden.

Wer ist betroffen

Sofortmaßnahmen

  1. Sofort patchen — Cisco hat Notfall-Updates veröffentlicht
  2. Peer-Listen prüfen — Überprüfen Sie Ihre SD-WAN-Infrastruktur auf unautorisierte Peers
  3. Firmware-Verlauf überprüfen — Achten Sie auf unerwartete Versionsänderungen (Downgrade-/Upgrade-Muster)
  4. Netzwerkforensik — Untersuchen Sie den Datenverkehr auf Verbindungen zu unbekannten Controllern
  5. Bei ungepatchten Systemen von einem Sicherheitsvorfall ausgehen — Diese Schwachstelle wird seit über 3 Jahren ausgenutzt

CarGurus-Datenleck: 12,4 Millionen Nutzer betroffen

Der Automobil-Marktplatz CarGurus hat ein Datenleck bestätigt, von dem über 12,4 Millionen Nutzer betroffen sind. Die Gruppe ShinyHunters bekannte sich zur Tat und gab an, personenbezogene Daten sowie interne Unternehmensdaten exfiltriert zu haben.

Dies folgt auf den Angriff von ShinyHunters auf Wynn Resorts, bei dem Mitarbeiterdaten gestohlen wurden — wobei der Eintrag nach offensichtlichen Verhandlungen später von der Leak-Seite entfernt wurde.

Betroffene Daten

Auswirkungen: Wenn Sie oder Ihre Mitarbeiter CarGurus genutzt haben, achten Sie auf Phishing-Kampagnen, die die gestohlenen Daten ausnutzen. Credential-Stuffing-Angriffe sind innerhalb weniger Tage zu erwarten.


SLH-Supergruppe zahlt 1.000 $/Anruf für Vishing-Rekruten

Die Cybercrime-Supergruppe Scattered LAPSUS$ Hunters (SLH) — ein Zusammenschluss aus LAPSUS$, Scattered Spider und ShinyHunters — rekrutiert aktiv Frauen für Voice-Phishing-Angriffe (Vishing) gegen IT-Helpdesks.

Social Engineering im industriellen Maßstab

Laut der Threat-Intelligence von Dataminr bietet SLH 500–1.000 $ pro Anruf plus vorgefertigte Skripte. Die Strategie: Weibliche Stimmen könnten höhere Erfolgsquoten erzielen, wenn sie sich als Mitarbeiterinnen ausgeben, die beim Helpdesk Passwort-Resets oder MFA-Umgehungen anfordern.

SLH hat eine dokumentierte Vorgeschichte mit MFA-Prompt-Bombing, SIM-Swapping und Helpdesk-Social-Engineering. Diese Rekrutierungskampagne signalisiert eine Industrialisierung des Social Engineering — der Übergang von opportunistischen Angriffen zu bezahlten, organisierten Callcenter-Operationen.

Empfohlene Gegenmaßnahmen


SolarWinds Serv-U: Vier kritische RCE-Schwachstellen

SolarWinds hat vier kritische Schwachstellen in der Serv-U-Dateiübertragungssoftware gepatcht, die Remote Code Execution ermöglichen. Obwohl die Schwachstellen administrative Rechte erfordern, ist Serv-U ein historisch häufig angegriffenes Produkt (erinnern Sie sich an den Supply-Chain-Angriff von 2021).

Warum das wichtig ist

Dateiübertragungs-Appliances bleiben der häufigste initiale Angriffsvektor für Ransomware-Gruppen. MOVEit, GoAnywhere, Citrix ShareFile — und jetzt erneut Serv-U. Wenn Sie Serv-U einsetzen, patchen Sie, bevor unweigerlich Exploit-Code veröffentlicht wird.


Chinesische Cyberspionage: Dutzende Telekommunikationsunternehmen und Behörden kompromittiert

Googles Threat Intelligence Group (GTIG), Mandiant und internationale Partner haben eine globale Spionagekampagne unterbunden, die dem chinesischen Bedrohungsakteur UNC2814 zugeschrieben wird. Die Gruppe ist mindestens seit 2017 aktiv und hat Organisationen in 42 Ländern ins Visier genommen.

Die Angreifer nutzten legitime SaaS-API-Aufrufe, um bösartigen Datenverkehr zu tarnen, was die Erkennung außerordentlich erschwerte. Zu den Zielen gehörten Telekommunikationsanbieter und Regierungsbehörden — klassische Ziele der Nachrichtengewinnung.


Rüstungsunternehmer erhält 87 Monate Haft für Exploit-Verkauf an Russland

Der ehemalige US-Rüstungsunternehmer Peter Williams wurde zu 87 Monaten Bundesgefängnis verurteilt, weil er Cyber-Exploits an einen russischen Vermittler verkauft hatte. Der Fall unterstreicht das anhaltende Risiko von Insider-Bedrohungen in der Verteidigungs-Lieferkette.


Supply-Chain-Ecke: Bösartige NuGet-Pakete + gefälschte Next.js-Bewerbungsgespräche

Diese Woche wurden zwei separate Supply-Chain-Kampagnen entdeckt:

Entwicklerteams: Überprüfen Sie Ihre NuGet-Abhängigkeiten und seien Sie misstrauisch gegenüber Repositories, die aus unaufgeforderten Bewerbungsgesprächen verlinkt werden.


UFP Technologies: Medizintechnik-Hersteller von Ransomware betroffen

Der amerikanische Medizintechnik-Hersteller UFP Technologies hat einen Cyberangriff mit bestätigtem Datendiebstahl und dateiverschlüsselnder Malware offengelegt. Der Gesundheitssektor wird weiterhin überproportional angegriffen — Angreifer wissen, dass Patientendaten hohe Lösegeldforderungen ermöglichen und regulatorischer Druck schnelle Zahlungen erzwingt.


Heutige Prioritäten

  1. Cisco SD-WAN — CVE-2026-20127 sofort patchen (CVSS 10.0, seit 2023 ausgenutzt)
  2. SolarWinds Serv-U — Kritische RCE-Patches einspielen
  3. Helpdesk-Härtung — SLH-Vishing-Kampagne ist aktiv und skaliert
  4. CarGurus-Datenleck — Auf Credential Stuffing und Phishing mit gestohlenen Daten achten
  5. Entwickler-Supply-Chain — NuGet-Pakete prüfen, Vorsicht vor gefälschten Interview-Repositories
  6. Telekommunikation/Behörden — Bei betroffenen Sektoren auf UNC2814-Indikatoren prüfen

So schützt Kensai Sie

Cisco SD-WAN Erkennung — Scannen auf CVE-2026-20127 und verwundbare Konfigurationen

Supply-Chain-Überwachung — Tracking bösartiger Pakete über NuGet, npm, PyPI

KI-gestützte Behebung — Patches statt nur Warnungen. Automatisch generierte PRs für Ihre Codebasis.

NIS2-Compliance — Deutschsprachige Berichte für regulatorische Anforderungen

Scannen Sie Ihre Infrastruktur in 60 Sekunden

Über 332.000 CVEs indexiert. KI-generierte Patches. GitHub-PR-Automatisierung.

Kostenlos testen

Bleiben Sie sicher. Bleiben Sie wachsam.

🗡️ KENSAI Security Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home