Eine kritische Schwachstelle in Ciscos SD-WAN-Controllern wird aktiv ausgenutzt, während sich gleichzeitig ein breites Spektrum von Sicherheitslücken in Infrastruktur-, Cloud- und KI-Systemen abzeichnet. Die Vorfälle deuten auf eine Verschiebung der Bedrohungslandschaft hin, bei der Angreifer Zugang über mehrere vernetzte Systeme systematisch ausnutzen.
Diese Woche zeigt weniger einen einzelnen Großvorfall als vielmehr grundlegende Verschiebungen in der Bedrohungslandschaft. Netzwerksysteme, Cloud-Infrastrukturen, KI-Tools und alltägliche Anwendungen werden auf verschiedenste Weise angegriffen. Lücken in der Zugriffskontrolle, exponierte Credentials und legitime Features dienen Angreifern als Einfallstore.
Das eigentliche Muster offenbart sich erst, wenn man alle Vorfälle zusammenbetrachtet: schnellere Scan-Methoden, geschickter Missbrauch vertrauenswürdiger Services und gezieltes Vorgehen gegen hochwertige Ziele. Jede Geschichte trägt zum Gesamtbild bei.
Cisco SD-WAN Zero-Day wird aktiv exploitiert
Eine kritische Sicherheitslücke in Ciscos Catalyst SD-WAN Controller und Manager (ehemals vSmart und vManage) wird bereits seit 2023 aktiv ausgenutzt. Die als CVE-2026-20127 katalogisierte Schwachstelle weist den Höchstwert CVSS 10.0 auf und ermöglicht es unauthentifizierten Angreifern, die Authentifizierung zu umgehen und administrative Privilegien zu erlangen. Cisco wurde von Australiens Cyber Security Centre (ASD-ACSC) auf die Lücke hingewiesen und verfolgt die Exploits unter der Bezeichnung UAT-8616, wobei von einem „hochgradig sophistizierten Cyber-Akteur" die Rede ist.
Wöchentlich auftauchende Schwachstellen erfordern schnelle Reaktion. Regelmäßige Reviews und zeitnahe Patches halten Systeme widerstandsfähig.
Diese Woche besonders kritisch: CVE-2025-40538 bis CVE-2025-40541 (SolarWinds Serv-U), CVE-2026-20127, CVE-2026-20122, CVE-2026-20126, CVE-2026-20128 (Cisco Catalyst SD-WAN), CVE-2026-25755 (jsPDF), CVE-2025-12543 (HPE Telco Service Activator), CVE-2026-22719 bis CVE-2026-22721 (Broadcom VMware Aria Operations), CVE-2026-3061 bis CVE-2026-3063 (Google Chrome), CVE-2025-10010 (CryptoPro Secure Disk), CVE-2025-13942, CVE-2025-13943, CVE-2026-1459 (Zyxel), CVE-2025-71210, CVE-2025-71211 (Trend Micro Apex One), CVE-2026-0542 (ServiceNow AI Platform), CVE-2026-24061 (telnetd), CVE-2026-21902 (Juniper Junos OS), CVE-2025-29631, CVE-2025-1242 (Gardyn Home Kit), CVE-2025-15576 (FreeBSD), CVE-2026-26365 (Akamai), CVE-2026-27739 (Angular) und SVE-2025-50109 (Samsung Tizen OS).
Isoliert betrachtet wirken diese Vorfälle überschaubar. In der Gesamtschau wird jedoch deutlich, wie Risiken durch vernetzte Systeme fließen, auf die Organisationen täglich angewiesen sind. Infrastruktur, KI-Plattformen, Cloud-Services und Third-Party-Tools sind eng miteinander verflochten – Probleme in einem Bereich legen schnell andere offen.
Die Erkenntnis lautet: Angreifer werden effizienter, skalieren ihre Zugriffe und operieren innerhalb normaler Prozesse. Das Verständnis dieser Dynamik hilft, die Verschiebung der Bedrohungslandschaft realistisch einzuordnen.”,
Quelle: The Hacker News