Die US-Cybersicherheitsbehörde CISA hat am Donnerstag zwei Sicherheitslücken in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Betroffen sind Produkte von Hikvision und Rockwell Automation. Als Begründung verweist die Behörde auf Belege für eine aktive Ausnutzung der beiden Lücken.
Beide Schwachstellen sind als kritisch eingestuft und erreichen einen CVSS-Wert von 9.8. Es handelt sich um CVE-2017-7921, die Hikvision-Kameras betrifft, sowie um CVE-2021-22681 in Produkten von Rockwell Automation.
Die Aufnahme von CVE-2017-7921 erfolgt mehr als vier Monate, nachdem das SANS Internet Storm Center bekanntgegeben hatte, Ausnutzungsversuche gegen für die Lücke anfällige Hikvision-Kameras entdeckt zu haben. Für CVE-2021-22681 existiert dagegen offenbar kein öffentlicher Bericht, der entsprechende Angriffe beschreibt.
Angesichts der aktiven Ausnutzung empfiehlt die CISA den Behörden der Federal Civilian Executive Branch (FCEB), bis zum 26. März 2026 auf die aktuellen unterstützten Softwareversionen zu aktualisieren. Grundlage dafür ist die verbindliche Anordnung Binding Operational Directive (BOD) 22-01.
“Diese Arten von Schwachstellen sind häufige Angriffsvektoren für böswillige Cyberakteure und stellen erhebliche Risiken für die Bundesverwaltung dar”, erklärte die CISA. Zwar gelte BOD 22-01 nur für FCEB-Behörden, doch die Behörde fordert nach eigenen Angaben nachdrücklich alle Organisationen dazu auf, ihre Anfälligkeit für Cyberangriffe zu verringern, indem sie die zeitnahe Behebung der im KEV-Katalog gelisteten Schwachstellen als Teil ihres Schwachstellenmanagements vorrangig behandeln.
