SchwachstellenRansomwareCyberkriminalität

Kritische Cisco-Sicherheitslücke: CISA ordnet Notfall-Patch für Behörden an

Kritische Cisco-Sicherheitslücke: CISA ordnet Notfall-Patch für Behörden an
Zusammenfassung

Die US-amerikanische Cybersicherheitsbehörde CISA hat Bundesbehörden ein Ultimatum gestellt: Bis Sonntag, 22. März, müssen sie eine kritische Sicherheitslücke in Cisco Secure Firewall Management Center patchen oder das System abschalten. Die Schwachstelle CVE-2026-20131 ermöglicht es unauthentifizierten Angreifern, beliebigen Java-Code mit Root-Rechten auszuführen – ein maximales Risiko für Netzwerksicherheit. Besonders alarmierend ist, dass die Ransomware-Bande Interlock diese Lücke bereits seit Ende Januar als Zero-Day ausnutzt, also Wochen bevor Cisco überhaupt einen Patch veröffentlichte. Amazon-Sicherheitsforscher bestätigten aktive Angriffsaktivitäten in der freien Wildbahn. Die Interlock-Gang hat damit bereits prominente Opfer wie Krankenhausketten, Universitäten und die Stadt St. Paul erpresst. Für deutsche Nutzer und Unternehmen ist die Situation brisant: Das betroffene Cisco FMC ist ein zentrales Verwaltungssystem für kritische Netzwerk-Sicherheitsgeräte. Obwohl CISA formal nur Bundesbehörden verpflichtet, empfiehlt die Agentur nachdrücklich, dass auch private Firmen, Behörden und kritische Infrastrukturen sofort handeln – andernfalls droht ein massiv erhöhtes Ransomware-Risiko.

Die Cisco Secure Firewall Management Center ist ein zentrales Administrationssystem für Netzwerk-Sicherheitsgeräte von Cisco. Ein Kompromiss dieser Komponente bedeutet theoretisch die Kontrolle über sämtliche damit verbundenen Sicherheitsappliances. Die nun entdeckte Schwachstelle CVE-2026-20131 nutzt unsichere Deserialisierung eines Java-Byte-Stroms aus. Angreifer müssen lediglich ein speziell präpariertes serialisiertes Java-Objekt an die webbasierte Managementoberfläche senden — ohne sich authentifizieren zu müssen.

Cisco veröffentlichte die Sicherheitsmitteilung am 4. März und warnte Systemadministratoren vor der fehlenden Existenz von Workarounds. Am 18. März folgte die alarmierende Nachricht: Die Lücke wird bereits aktiv ausgenutzt. Amazon-Bedrohungsanalytiker stellten fest, dass die Ransomware-Gruppe Interlock CVE-2026-20131 schon seit Ende Januar als Zero-Day missbrauchte — lange bevor Cisco einen Patch bereitstellte.

Interlock hat sich seit seiner Gründung Ende 2024 als gefährliche Bedrohung etabliert. Die Gruppe beanspruchte prominente Opfer wie das Gesundheitsunternehmen DaVita, die Kettering Health, das Texas Tech University System und die Stadt Saint Paul in Minnesota. Neben der Cisco-Lücke nutzt Interlock auch die ClickFix-Technik für den initialen Zugriff sowie Custom-Remote-Access-Trojaner und eigene Malware-Varianten wie NodeSnake und Slopoly.

CISA katalogisierte CVE-2026-20131 sofort in seiner Known Exploited Vulnerabilities (KEV) Liste und markierte sie als “bekannt für Nutzung in Ransomware-Kampagnen”. Die Frist für föderale zivile Behörden beträgt nur drei Tage — ein beispielloses Ultimatum, das die Schwere der Situation unterstreicht.

Ob auch deutsche Behörden und kritische Infrastrukturen schnell reagieren, bleibt abzuwarten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte ein ähnliches Warnsystem aktivieren. Für private Unternehmen gilt die CISA-Frist zwar nicht bindend, doch die aktive Ausnutzung macht einen schnellen Patch zur Pflicht. Jeder Tag Verzögerung erhöht das Risiko, Ransomware-Opfer zu werden erheblich.

Ähnliche Artikel