Die vier neu in die KEV-Katalog aufgenommenen Schwachstellen stellen eine konkrete und gegenwärtige Bedrohung dar. Bei zwei der Lücken handelt es sich um kritische Fehler in SimpleHelp, einer Remote-Support-Software, die weltweit in Unternehmen eingesetzt wird. Obwohl diese Sicherheitsmängel von CISA zunächst als “Unbekannt” hinsichtlich ihrer Nutzung in Ransomware-Kampagnen klassifiziert wurden, zeigen Untersuchungen von Sicherheitsunternehmen wie Field Effect und Sophos ein anderes Bild: Die SimpleHelp-Lücken wurden bereits als Einfallstor für Ransomware-Angriffe missbraucht, darunter Kampagnen der DragonForce-Ransomware-Operation.
Weiterhin gefährlich ist die Ausnutzung von CVE-2024-7399, die mit Mirai-Botnet-Aktivitäten verbunden ist. Dabei handelt es sich um ein weit verbreitetes Botnetz, das IoT-Geräte infiziert und für großflächige Cyberangriffe nutzt. Noch aktueller ist CVE-2025-29635, das D-Link-Router der DIR-823X-Serie betrifft. Der Sicherheitsanbieter Akamai berichtete diese Woche von Exploitierungsversuchen gegen D-Link-Geräte, die eine neue Mirai-Variante namens “tuxnokill” verbreiten sollen.
Die Tatsache, dass Samsung MagicINFO 9 Server ebenfalls auf der Liste gelandet ist, unterstreicht die Breitenwirkung dieser Sicherheitsprobleme. Samsung MagicINFO wird häufig für Digital Signage und Displayverwaltung in Einzelhandelsketten, Flughäfen und anderen öffentlichen Einrichtungen genutzt.
Die CISA-Empfehlung an US-Bundesbehörden lautet eindeutig: Entweder müssen die Sicherheitsupdates bis zum 8. Mai 2026 eingespielt werden, oder betroffene Geräte – insbesondere im Fall von CVE-2025-29635 – müssen komplett abgeschaltet werden. Für deutsche Unternehmen und Organisationen, die diese Systeme betreiben, sollte dies ein deutliches Zeichen sein, die Sicherheitsupdates zeitnah zu priorisieren. Die aktive Ausnutzung durch organisierte Cyberkriminelle und Botnet-Betreiber macht schnelles Handeln unverzichtbar.