Cisco hat zugeschlagen: Im Mai 2026 sind gleich mehrere kritische Advisories für IOS und IOS XE durchgerollt. Im Zentrum steht eine SNMP-Lücke, die Angreifern bei aktiviertem SNMPv1/v2c oder schwachem SNMPv3 RCE als root ermöglicht. Dazu kommen Command-Injection in der HTTP-API, AAA-Authorization-Bypass und mehrere Secure-Boot-Bypass-Schwachstellen.
UNGLAUBLICH: SNMP wieder als Einfallstor
Die SNMP-Lücke (cisco-sa-snmp-x4LPhte) trifft den Klassiker: Wer noch SNMPv1 oder v2c mit Standard-Community-Strings betreibt, hängt mit einem öffentlich erreichbaren Port und ohne Authentifizierung am Internet. Ein authentifizierter, remote Angreifer mit niedrigen Privilegien kann DoS auslösen. Mit hohen Privilegien wird daraus Code-Execution als root auf dem Switch oder Router.
Parallel die HTTP-API-Lücke (cisco-sa-ios-xe-cmd-inject-rPJM8BGL): Unzureichende Eingabevalidierung in der Web-UI lässt Angreifer Befehle direkt im Underlying-OS injizieren. Wer das Web-Management nicht braucht, sollte es seit Jahren abgeschaltet haben — diese Lücke ist eine weitere Bestätigung.
GEFAHR! AAA-BYPASS lässt SCP unauthentifiziert durch
Die AAA-Bypass-Schwachstelle (cisco-sa-aaascp-Tyj4fEJm) erlaubt einem authentifizierten Remote-Angreifer, Command-Authorization zu umgehen und Dateien per SCP zu schreiben oder zu lesen. Klingt langweilig? Ist es nicht. Wer per SCP die Startup-Config oder den Bootloader manipuliert, hat persistenten Zugriff — Reboot überlebt.
Dazu kommen Secure-Boot-Bypass-Lücken auf Catalyst- und Rugged-Series-Switches (cisco-sa-secboot-UqFD8AvC und cisco-sa-xe-secureboot-bypass-B6uYxYSZ). Ein Angreifer mit lokalem Zugriff kann nicht-signierten Boot-Code ausführen — also auch nach Werksreset weiter im System bleiben.
SO STOPFST DU DEINE FLOTTE
Schritt 1: Patch-Stand abfragen — `show version` liefert dir die aktuelle IOS-XE-Version. Prüfe gegen die Cisco-Advisories, welche fixed releases du brauchst.
Schritt 2: SNMP härten — wenn möglich, SNMPv1/v2c komplett aus, SNMPv3 mit AES-Auth + Priv. Plus: ACLs auf den SNMP-Port (UDP/161) setzen, sodass nur Monitoring-Hosts antworten dürfen.
Schritt 3: HTTP-API abschalten — `no ip http server` und `no ip http secure-server`, sofern du das Web-UI nicht brauchst. Management bevorzugt nur über SSH und Out-of-Band.
Schritt 4: AAA absichern — Default-Authorization-Method-Lists überprüfen, Command-Authorization für SCP explizit konfigurieren.
EXTRA-TIPP: KEV-LISTE im Auge behalten
Sobald CISA eine dieser Lücken in die Known Exploited Vulnerabilities-Liste setzt, hast du in US-Behörden 2-3 Wochen Zeit. Für deinen Homelab-Switch oder Office-Catalyst gibt es keine Frist — aber die Hacker schauen genau dort nach offenen SNMP-Communities, wenn die Welle losrollt.
FAZIT: NETZWERK IST KEIN „SETZEN UND VERGESSEN“
Switches und Router stehen oft jahrelang ohne Update durch — das ist 2026 das größte Risiko in jeder Infrastruktur. Mai-Welle ist ein guter Anlass, dein Patch-Fenster für Netzwerk-Hardware grundsätzlich zu öffnen. Einmal im Quartal IOS-XE-Updates ist das Minimum.