KW 10/2026: Aktiv ausgenutzte Lücken in Netzwerk- und Mobilgeräten – eine arbeitsreiche Woche

Überblick und Einordnung der Woche

Die zurückliegende Woche fällt spürbar unruhiger aus als die vorangegangene. Im Vordergrund steht eine Häufung neu als aktiv ausgenutzt eingestufter Schwachstellen, die ein breites Spektrum abdecken – von Überwachungstechnik und industriellen Steuerungssystemen über mobile Apple-Geräte bis hin zu Virtualisierungs- und Mobilfunk-Komponenten. Auffällig ist, dass es sich keineswegs nur um frisch entdeckte Lücken handelt: Mehrere der nun in den Fokus gerückten Schwachstellen sind bereits seit Längerem bekannt und werden gleichwohl weiterhin oder erneut gegen ungepatchte Systeme eingesetzt. Das unterstreicht, wie lange anfällige Geräte in produktiven Umgebungen verbleiben.

Parallel dazu zeigt sich die Ransomware-Lage unverändert angespannt. Eine Auswahl der aktivsten Erpressergruppen bleibt präsent und sorgt für anhaltenden Druck quer durch verschiedene Branchen und Regionen. Hinzu kommt, dass dieses Mal auch Einrichtungen im deutschsprachigen Raum unter den Betroffenen sind – ein Hinweis darauf, dass die Bedrohung nicht abstrakt bleibt, sondern unmittelbar vor der Haustür wirkt.

Die thematische Berichterstattung der Woche verdichtet dieses Bild: Aktive Ausnutzung kritischer Lücken in Netzwerk-Management-Software, die Aufnahme von Mobil-Schwachstellen in behördliche Kataloge und ein wachsender Marktanteil kommerzieller Spähanbieter zeichnen zusammen das Bild einer Lage, in der professionalisierte Angreifer und kommerzielle Akteure gleichermaßen Tempo machen. Wer Netzwerk-Infrastruktur, Mobilgeräte oder industrielle Systeme betreibt, hat in dieser Woche wenig Anlass zur Entspannung.

Schwachstellen und ausgenutzte Sicherheitslücken

Das Schwachstellen-Geschehen der Woche ist breit gefächert und reicht quer durch unterschiedlichste Produktwelten. Im Bereich der Überwachungstechnik betrifft CVE-2017-7921 mehrere Produkte von Hikvision: Eine fehlerhafte Authentifizierung kann es Angreifern ermöglichen, ihre Rechte auszuweiten und so die Kontrolle über betroffene Geräte zu erlangen. Dass eine derart ältere Lücke weiterhin relevant ist, verdeutlicht das anhaltende Problem langlebiger, schlecht gewarteter Geräte in Netzwerken.

Im industriellen Umfeld rückt CVE-2021-22681 in den Blick. Die Schwachstelle in mehreren Produkten von Rockwell – darunter die Engineering-Software Studio 5000 Logix Designer – beruht auf unzureichend geschützten Zugangsdaten und kann Angreifern Zugriff auf zentrale Steuerungskomponenten eröffnen. Gerade in Produktions- und Automatisierungsumgebungen wiegt eine solche Lücke schwer, weil hier Verfügbarkeit und physische Prozesse unmittelbar betroffen sein können.

Einen deutlichen Schwerpunkt bilden in dieser Woche Schwachstellen im Apple-Ökosystem. Gleich mehrere Lücken werden als aktiv ausgenutzt geführt: CVE-2023-43000 betrifft macOS, iOS, iPadOS sowie Safari und beruht auf einem Use-after-free-Fehler bei der Verarbeitung manipulierter Inhalte. CVE-2021-30952 wirkt sich auf tvOS, macOS, Safari, iPadOS und watchOS aus und geht auf einen Integer-Überlauf bei der Verarbeitung präparierter Daten zurück. Hinzu kommt CVE-2023-41974 in iOS und iPadOS, ebenfalls ein Use-after-free-Problem, über das sich Schadcode ausführen lässt. In ihrer Summe zeigen diese Fälle, dass mobile Endgeräte und ihre Browser-Komponenten weiterhin ein bevorzugtes Ziel hochentwickelter Angriffe sind – ein Befund, der sich mit der Berichterstattung dieser Woche zu Spähsoftware und Zero-Days deckt.

Im Bereich der Virtualisierung und des IT-Betriebs sticht CVE-2026-22719 hervor. Die Schwachstelle in Broadcom VMware Aria Operations – vormals als vRealize Operations bekannt – erlaubt das Einschleusen von Befehlen und kann Angreifern damit weitreichenden Zugriff auf Management-Infrastruktur verschaffen. Da solche Werkzeuge tief in die Verwaltung ganzer Umgebungen eingreifen, ist das Schadenspotenzial entsprechend groß.

Schließlich betrifft CVE-2026-21385 mehrere Qualcomm-Chipsätze. Eine Speicherbeschädigung im Zusammenhang mit der Ausrichtung bei der Speicherzuweisung kann hier ausgenutzt werden – eine Schwachstelle auf einer sehr grundlegenden Ebene, die naturgemäß eine breite Palette von Geräten erreicht, in denen die betroffenen Komponenten verbaut sind. In der Gesamtschau verbindet diese Schwachstellen ein gemeinsamer Nenner: Sie sind nicht theoretischer Natur, sondern werden bereits gegen reale Systeme eingesetzt, und sie verlangen daher zügiges Einspielen verfügbarer Aktualisierungen.

Ransomware-Lage

Die Erpressersoftware bleibt eine der bestimmenden Bedrohungen der Woche. Unter den aktivsten Gruppen fällt eine Auswahl besonders ins Auge – darunter Qilin, DragonForce, AiLock, INC Ransom, Play, Akira und Nightspire. Diese Aufzählung ist ausdrücklich als Ausschnitt der aktivsten Akteure zu verstehen und nicht als vollständige Übersicht des Geschehens; sie vermittelt jedoch einen Eindruck davon, wie vielfältig und zugleich beständig das Feld der organisierten Erpressung inzwischen ist.

Bemerkenswert ist die Mischung aus etablierten und vergleichsweise jüngeren Namen. Während einige der genannten Gruppen seit geraumer Zeit zum festen Inventar der Bedrohungslandschaft gehören, treten andere mit eigenen Vorgehensweisen und Verhandlungsstrategien auf. Diese Gleichzeitigkeit erfahrener und neuerer Akteure spricht für einen weiterhin niedrigschwelligen Einstieg in das Geschäftsmodell der doppelten Erpressung, bei dem Daten zunächst abgezogen und anschließend mit Veröffentlichung gedroht wird.

Betroffen sind, wie schon in den Vorwochen, Organisationen unterschiedlichster Größe und aus verschiedenen Wirtschaftszweigen. Besonderes Gewicht erhält die Lage in dieser Woche dadurch, dass auch Einrichtungen im deutschsprachigen Raum ins Visier geraten sind. Das verschiebt die Bedrohung aus der Ferne in die unmittelbare Nachbarschaft und sollte Betreibern ein zusätzlicher Anlass sein, Sicherungskonzepte, Segmentierung und Notfallpläne auf den Prüfstand zu stellen. Auf konkrete Namen geschädigter Organisationen wird hier bewusst verzichtet; im Vordergrund steht das Muster, und dieses Muster zeigt unverändert hohe Aktivität ohne erkennbare Entspannung.

Bemerkenswerte Vorfälle und Themen der Woche

Über das reine Schwachstellen- und Ransomware-Geschehen hinaus prägen einige Themen die Berichterstattung der Woche besonders deutlich. Im Bereich der Netzwerk-Infrastruktur sorgt Cisco gleich mehrfach für Schlagzeilen: Berichtet wird über die aktive Ausnutzung zweier Lücken im Catalyst SD-WAN Manager sowie über eine kritische Zero-Day-Schwachstelle in Ciscos SD-WAN mit höchster Bewertung, die ebenfalls bereits ausgenutzt wird. Da SD-WAN-Management-Komponenten an zentraler Stelle den Datenverkehr ganzer Standortverbünde steuern, wiegt eine aktiv ausgenutzte Lücke an dieser Stelle besonders schwer und verlangt rasches Handeln.

Ein zweiter Themenstrang dreht sich um mobile Sicherheit und staatsnahe wie kommerzielle Überwachung. So hat die US-Behörde CISA iOS-Schwachstellen, die mit dem sogenannten Coruna-Exploit-Kit in Verbindung gebracht werden, in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Dieser Schritt unterstreicht, wie ernst die Lage rund um mobile Angriffsketten eingeschätzt wird, und fügt sich nahtlos in das oben beschriebene Bild der zahlreichen aktiv ausgenutzten Apple-Lücken ein.

Den größeren Rahmen liefert schließlich eine Auswertung von Google zu ausgenutzten Zero-Day-Schwachstellen des vergangenen Jahres. Demnach spielen kommerzielle Anbieter von Spähsoftware eine zunehmend gewichtige Rolle bei der Ausnutzung bislang unbekannter Lücken. Diese Beobachtung verbindet die einzelnen Stränge der Woche zu einem stimmigen Gesamtbild: Professionalisierte Angreifer, ein wachsender kommerzieller Markt für Überwachungstechnik und eine anhaltend hohe Zahl real ausgenutzter Schwachstellen treffen aufeinander. Für Verteidiger bedeutet das vor allem eines – konsequentes Aktualisieren exponierter Systeme, besondere Aufmerksamkeit für Netzwerk-Management und Mobilgeräte sowie eine nüchterne Vorbereitung auf den Ernstfall bleiben das Gebot der Stunde.