Die CISA hat drei Sicherheitslücken in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Auslöser ist jeweils ein Nachweis darüber, dass die Lücken bereits aktiv angegriffen werden.
Die Schwachstelle CVE-2025-26399 betrifft SolarWinds Web Help Desk. Ihre Aufnahme folgt auf Berichte von Microsoft und Huntress, denen zufolge Angreifer Sicherheitslücken in dieser Software ausnutzen, um sich einen initialen Zugang zu verschaffen. Hinter den Aktivitäten wird die Ransomware-Gruppe Warlock vermutet.
CVE-2021-22054 wurde nach Angaben von GreyNoise bereits in diesem Jahr als ausgenutzt gemeldet. Der Dienst beobachtete den Missbrauch im Rahmen einer koordinierten Kampagne, bei der die Lücke gemeinsam mit mehreren weiteren SSRF-Schwachstellen in anderen Produkten angegriffen wurde.
Zu CVE-2026-1603 liegen bislang keine Informationen darüber vor, wie die Schwachstelle in der Praxis ausgenutzt wird. Das zugehörige Sicherheitsbulletin von Ivanti war zum Zeitpunkt der Veröffentlichung nicht um Angaben zum Ausnutzungsstatus ergänzt.
Um dem Risiko durch die aktiven Angriffe zu begegnen, wurden die zivilen Behörden der US-Bundesverwaltung verpflichtet, die Korrektur für SolarWinds Web Help Desk bis zum 12. März 2026 einzuspielen. Für die beiden übrigen Schwachstellen gilt eine Frist bis zum 23. März 2026.
“Diese Art von Schwachstellen sind häufige Angriffsvektoren für böswillige Cyberakteure und stellen ein erhebliches Risiko für die Bundesverwaltung dar”, erklärte die CISA.
