Die Cybersecurity and Infrastructure Security Agency (CISA) hat zwei kritische Sicherheitslücken in ihre Known Exploited Vulnerabilities (KEV) Katalog aufgenommen. Beide werden bereits aktiv von Angreifern missbraucht und stellen eine unmittelbare Bedrohung dar.
Die erste Schwachstelle betrifft Zimbra Collaboration Suite. Die indische Sicherheitsfirma Seqrite Labs dokumentierte eine koordinierte Angriffskampagne, die als “Operation GhostMail” bekannt wurde und russische staatliche Akteure als Urheber vermuten lässt. Das Angriffsziel war die Hydrografische Behörde der Ukraine (hydro.gov.ua). Die Methode ist bemerkenswert für ihre Eleganz: Angreifer versenden Social-Engineering-E-Mails mit dem Vorwand von Praktikumsanfragen. Die E-Mails enthalten obfuszierten JavaScript-Code direkt im HTML-Body – ohne verdächtige Anhänge, Links oder Makros.
Wenn das Opfer die E-Mail in einer anfälligen Zimbra-Webmail-Sitzung öffnet, wird die Cross-Site-Scripting-Lücke (CVE-2025-66376) automatisch ausgenutzt. Der JavaScript-Malware-Code ist gezielt entwickelt, um Anmeldedaten, Session-Token, Zwei-Faktor-Authentifizierungs-Codes und im Browser gespeicherte Passwörter zu stehlen. Zusätzlich werden bis zu 90 Tage alte E-Mail-Inhalte exfiltriert – alles über DNS- und HTTPS-Kanäle.
Besonders perfide: Die Mail vom 22. Januar 2026 stammte von einer wahrscheinlich kompromittierten Adresse der Nationalen Akademie für Innere Angelegenheiten. Dies ist Teil einer etablierten Taktik russischer staatlicher Hacker, wie bereits bei “Operation RoundPress” beobachtet, die XSS-Lücken in Webmail-Software gegen ukrainische Organisationen ausnutzen.
Zum Cisco-Fall: Die Ransomware-Gruppe “Interlock” missbraucht seit dem 26. Januar 2026 eine maximale Schwachstelle (CVE-2026-20131, CVSS 10.0) in Cisco-Firewall-Management-Software – über einen Monat bevor sie öffentlich bekannt wurde. Amazon deckte diese Zero-Day-Exploitation auf. Interlock zielt bewusst auf Branchen ab, in denen Betriebsunterbrechungen maximalen Druck erzeugen: Bildung, Ingenieurs-, Bau-, Fertigungs-, Gesundheits- und Regierungssektor.
Dies unterstreicht ein persistentes Muster: Angreifer konzentrieren sich auf Edge-Netzwerk-Geräte verschiedener Hersteller (Cisco, Fortinet, Ivanti), um Initial Access zu erlangen. Die Investition in Zero-Day-Exploits zeigt, dass professionelle Cyberkriminelle erhebliche Ressourcen aufwenden, um vorher unbekannte Lücken zu finden.
CISA empfiehlt deutschen und US-Behörden strikte Patchfristen: CVE-2025-66376 bis 1. April 2026, CVE-2026-20963 bis 23. März 2026.