SchwachstellenHackerangriffeCyberkriminalität

CISA warnt vor acht aktiv ausgebeuteten Sicherheitslücken – Behörden unter Handlungsdruck

CISA warnt vor acht aktiv ausgebeuteten Sicherheitslücken – Behörden unter Handlungsdruck
Zusammenfassung

Die US-Cybersicherheitsbehörde CISA hat acht neue Sicherheitslücken in ihren Katalog der aktiv ausgebeuteten Schwachstellen aufgenommen, darunter drei kritische Flaws im Cisco Catalyst SD-WAN Manager. Diese Vulnerabilities werden bereits von Angreifern in der Praxis ausgenutzt – ein eindeutiges Zeichen für unmittelbare Gefahr. Besonders bemerkenswert ist die Aktivität rund um JetBrains TeamCity und Netscaler-Systeme, wo Bedrohungsakteure wie Lace Tempest gezielt Ransomware-Varianten wie Cl0p und LockBit einschleusen. Die CISA hat daher Fristen für Bundesbehörden gesetzt: Die drei Cisco-Flaws müssen bis 23. April 2026 gepatcht werden, die übrigen bis 4. Mai 2026. Auch für deutsche Unternehmen und Behörden ist dies hochrelevant, da diese Sicherheitslücken längst über nationale Grenzen hinweg ausgenutzt werden. IT-Teams, die Cisco-, JetBrains- oder Netscaler-Systeme betreiben, sollten umgehend ihre Infrastruktur überprüfen und Patches einspielen. Die Tatsache, dass etablierte Ransomware-Banden aktiv dahinter stecken, unterstreicht die ernsthafte Bedrohungslage für kritische Infrastrukturen und Unternehmen im deutschsprachigen Raum.

Die neuesten Erkenntnisse der CISA zeigen ein beunruhigendes Muster: Organisationen sehen sich zunehmend mit Zero-Day-Exploits und schnell ausgebeuteten Schwachstellen konfrontiert, die keine Zeit für gemächliche Patch-Management-Prozesse lassen.

Besonders im Fokus stehen die drei Cisco-Schwachstellen CVE-2026-20122, CVE-2026-20128 und CVE-2026-20133, die das Catalyst SD-WAN Manager-System betreffen. Cisco bestätigte die aktive Ausnutzung dieser Flaws bereits im März 2026. Das SD-WAN-System ist ein kritischer Komponente für viele Unternehmens- und Behördennetzwerke – ein Angriff darauf kann zu massiven Datenverlustszenarien und Netzwerkausfällen führen.

Eine weitere kritische Lücke ist CVE-2025-32975, die Netgate SMA-Systeme (Secure Mobile Access) betrifft. Das Sicherheitsunternehmen Arctic Wolf dokumentierte, dass unbekannte Bedrohungsakteure die Schwachstelle bereits im letzten Monat zur Zielerfassung gegen ungepatche Systeme nutzten. Die genauen Ziele und Motivationen dieser Kampagne sind bislang unklar.

Besorgnis erregend ist auch die JetBrains TeamCity-Situation. CVE-2024-27198 wurde bereits im März 2024 in die KEV-Liste aufgenommen. Nun kommt eine weitere TeamCity-Sicherheitslücke hinzu – ob diese beiden Flaws kombiniert eingesetzt werden und von denselben Angreifern stammen, ist noch nicht geklärt.

Historisch relevant ist CVE-2023-27351: Diese Schwachstelle wurde 2023 mit der Threat-Group “Lace Tempest” in Verbindung gebracht, die damit Cl0p und LockBit Ransomware verbreitete. Dass diese Lücke nun erneut aktiv ausgebeutet wird, deutet möglicherweise auf eine Eskalation der Bedrohungslage hin.

Für deutsche Organisationen bedeutet dies: Wer Cisco SD-WAN, JetBrains TeamCity oder Netgate-Systeme einsetzt, sollte sofort handeln. Die CISA-Fristen sind zwar für US-Bundesbehörden bindend, aber die Realität zeigt, dass organisierte Cyberkriminelle und staatliche Akteure nicht zwischen Ländern unterscheiden. Eine verzögerte Reaktion könnte kostspielig sein.

Experten raten zu sofortigen Patch-Assessments, Netzwerk-Segmentierung und erhöhter Überwachung auf verdächtige Aktivitäten.

Ähnliche Artikel