Cisco hat zwei Lücken im Carrier-Betriebssystem IOS XR gepatcht, die in derselben Familie wohnen wie viele schmerzhafte Vorgänger: CLI-Privilege-Escalation. Wer schon einmal auf einem Edge-Router mit einem Low-Priv-Account war und dachte „der kann eh nichts“ — die zwei Bugs zeigen warum das eine Wunschvorstellung sein kann.
CVE-2026-20040: CLI parst Argumente nicht sauber
Die erste Lücke: IOS XR validiert User-supplied Argumente in bestimmten CLI-Kommandos nicht sauber. Ein authentifizierter Angreifer mit Low-Level-Zugang kann mit speziell präparierten Kommandos seine Rechte hochziehen und am Ende arbiträre Befehle als Root ausführen. CVSS 8.8.
CVE-2026-20046: TASK-GROUP-MAPPING auf XRv 9000 kaputt
Die zweite Lücke trifft Cisco IOS XRv 9000: Inkorrektes Mapping eines CLI-Kommandos zu Task-Groups. Ein Low-Privileged-User kann ein bestimmtes Kommando absetzen, das die Autorisierungsprüfung umgeht — und damit administrative Aktionen ausführen, die er eigentlich nie machen dürfte. Auch hier CVSS 8.8.
WARUM DAS SCHMERZT: Carrier-Backbone-Hardware
IOS XR läuft auf Service-Provider- und Carrier-Hardware — ASR 9000, NCS 5500, NCS 540, NCS 560, XRv 9000. Heisst: Wenn du im ISP-Geschäft bist oder grosse Service-Provider-Backbones betreust, sitzt du sehr wahrscheinlich auf einem betroffenen Gerät. Ein Account-Diebstahl wird sofort zur Backbone-Übernahme.
BONUS-CVE: PACKET-DOS via EPNI Aligner Interrupt
Dazu kommt CVE-2026-20118 mit CVSS 6.8: EPNI-Aligner-Interrupt-Handling kann persistenten Packet-Loss und DoS verursachen. Trifft vor allem NCS-Plattformen. Weniger spektakulär als die Root-Lücken, aber wer Carrier-Links schiebt, merkt es sofort.
FIX: 25.2.21 und 25.4.2
Cisco hat die Fixes in zwei IOS-XR-Versionen ausgerollt:
- IOS XR 25.2.21 — Maintenance-Release im 25.2-Train
- IOS XR 25.4.2 — neuere Feature-Train-Version
Wer auf älteren Trains (25.1, 24.x) sitzt, muss zuerst auf einen unterstützten Train hochziehen — Cisco backportet ältere Releases nicht beliebig.
SOFORT-MASSNAHMEN
- Inventar: Welche Geräte laufen IOS XR? Welche Version?
show versionreicht. - Update-Plan: Wartungsfenster für 25.2.21 oder 25.4.2.
- AAA-Audit: Wer hat überhaupt CLI-Login? RADIUS/TACACS-Logs prüfen.
- Least Privilege: Auch Read-only-Accounts sind durch die Bugs gefährlich — Accounts reduzieren, nicht jedem NOC-User ein Login spendieren.
EXTRA-TIPP: TACACS-Logs verraten Eskalationsversuche
Wer mit TACACS+ AAA fährt, sieht jeden Befehl pro User. Such gezielt nach ungewöhnlichen Argumenten in Kommandos, die normalerweise nur die Admin-Group ausführt. Das ist die einfachste Detection für die laufende Exploitation.
Häufige Fragen
Welche Versionen sind betroffen?
Wie merke ich, ob mein System verwundbar ist?
show version die installierte IOS-XR-Version prüfen und mit den Fix-Versionen vergleichen. Ergänzend Ciscos Software Checker im Security Advisory nutzen — der gleicht eingegebene Versionen mit den Advisories automatisch ab.Wie behebe ich das Problem konkret?
Gab es schon aktive Angriffe?
Quellen: Cisco Security Advisory, securityweek.com, cyberpress.org.