Bundesbehörden müssen sich deutlich schneller als gewöhnlich gegen mehrere Sicherheitslücken verteidigen, die bereits im Fokus von Angreifern stehen. Die Cybersecurity and Infrastructure Security Agency (CISA) setzte alle zivilen Bundesbehörden unter Druck: Sie haben bis Donnerstag Zeit, um CVE-2025-26399 zu beheben — eine kritische Schwachstelle im weit verbreiteten SolarWinds Web Help Desk, einer IT-Service-Management-Plattform, die von zahlreichen Regierungsbehörden für Ticketing, Asset-Tracking und andere zentrale IT-Support-Aufgaben verwendet wird.
Trend Micro entdeckte den Bug im September über das Zero Day Initiative-Programm. Sicherheitsexperten warnen seitdem vor aktiver Ausnutzung durch Angreifer. Scott Caveza, Senior Research Engineer bei Tenable, wies bereits im September darauf hin, dass dies die dritte Patch-Iteration für diese ursprüngliche Schwachstelle aus dem Jahr 2024 darstellt. “Nur die Zukunft wird zeigen, ob diese Lücke weiterhin Ziel von Angreifern bleibt”, kommentierte er die Situation.
Dies ist bereits das dritte Mal im letzten Monat, dass CISA Notfall-Patches für SolarWinds Web Help Desk anordnet. Im frühen Februar gewährte die Behörde nur vier Tage Frist, zwei Wochen später nur noch drei Tage. SolarWinds ist bei Dutzenden Bundesbehörden im Einsatz und war bereits Ziel russischer Hacker bei einem der größten staatlichen Cyberangriffe der US-Geschichte.
Neben CVE-2025-26399 fügte CISA am Montag zwei weitere Lücken in seinen Katalog exploitierter Schwachstellen ein — beide mit einer Zwei-Wochen-Frist. Die zweite Lücke, CVE-2026-1603, betrifft ein Produkt des IT-Unternehmens Ivanti und soll seit Mitte Februar aktiv ausgenutzt werden, wie Cybersecurity-Analysten berichten. Ein Google-Bericht zu Zero-Day-Schwachstellen dokumentiert wiederholte Angriffe chinesischer staatlicher Akteure auf Ivanti-Tools durchgehend im Jahr 2025. Normalerweise erhalten im Katalog aufgenommene Lücken eine dreiwöchige Patch-Frist — Ausnahmen wie diese verkürzte Deadline sind selten.