KW 11/2026: Ruhigere Woche mit Nachdruck: Ivanti-Lücke im Fokus, anhaltende Ransomware-Aktivität

Überblick und Einordnung der Woche

Das Lagebild fällt in dieser Woche etwas ruhiger aus als zuletzt: Bei den neu als aktiv ausgenutzt eingestuften Schwachstellen war die Dynamik geringer als in der Vorwoche. Von Entspannung kann gleichwohl keine Rede sein. Im Mittelpunkt steht eine Authentifizierungs-Umgehung im Endpoint-Management von Ivanti, die nicht nur in die Schlagzeilen rückte, sondern Behörden auch zu konkretem Handeln zwang. Dazu kommt ein bemerkenswerter Nebenschauplatz rund um Cisco Catalyst SD-WAN, bei dem gefälschte Proof-of-Concepts die Aufmerksamkeit von der eigentlichen Gefahr abzulenken drohten.

Gleichzeitig bleibt die Ransomware-Lage angespannt. Eine Reihe von Gruppen zeigte sich weiterhin aktiv, und unter den Betroffenen finden sich auch Einrichtungen im deutschsprachigen Raum. Das unterstreicht, dass die geringere Zahl frisch ausgenutzter Lücken nicht mit einer geringeren operativen Bedrohung gleichzusetzen ist – die erpresserischen Kampagnen laufen unabhängig vom Takt neu bekannt gewordener Schwachstellen weiter.

Insgesamt zeichnet die Woche damit ein zweigeteiltes Bild: ein vergleichsweise verhaltener Strom neuer ausgenutzter Schwachstellen auf der einen Seite, eine unverändert hohe und breit gestreute Aktivität auf der anderen. Für Verteidiger heißt das, die akuten Patch-Aufforderungen ernst zu nehmen und zugleich die dauerhafte Bedrohung durch organisierte Erpressergruppen nicht aus dem Blick zu verlieren.

Schwachstellen und ausgenutzte Sicherheitslücken

Herausragend ist in dieser Woche eine Schwachstelle in Ivanti Endpoint Manager (EPM): CVE-2026-1603 erlaubt eine Umgehung der Authentifizierung über einen alternativen Pfad beziehungsweise Kanal. Da Endpoint-Management-Lösungen tief in die Verwaltung von Clients und Servern eingreifen, ist eine solche Lücke besonders heikel – wer die Authentifizierung umgeht, gewinnt potenziell weitreichenden Zugriff auf zentrale Verwaltungsfunktionen. Entsprechend deutlich fiel die behördliche Reaktion aus, mit einer ausdrücklichen Aufforderung zum Einspielen der Korrekturen.

Ebenfalls schwer wiegt eine Schwachstelle in n8n: CVE-2025-68613 betrifft die unzureichende Kontrolle dynamisch verwalteter Code-Ressourcen im System zur Auswertung von Workflow-Ausdrücken. In Automatisierungsplattformen, die Abläufe orchestrieren und mit zahlreichen Systemen verbunden sind, kann eine solche Lücke in der Ausdrucksauswertung zu einer gefährlichen Brücke zwischen scheinbar harmloser Konfiguration und tatsächlicher Code-Ausführung werden.

Im Infrastruktur-Bereich sticht SolarWinds Web Help Desk mit CVE-2025-26399 hervor – einer Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten im AjaxProxy. Deserialisierungslücken zählen zu den klassisch gefährlichen Mustern, weil sie sich häufig zur Ausführung von Angreifer-kontrollierten Abläufen eskalieren lassen. Hinzu kommt mit CVE-2021-22054 eine serverseitige Request-Forgery (SSRF) in Omnissa Workspace One UEM, dem vormals als VMware Workspace One UEM bekannten Produkt. SSRF-Schwachstellen sind besonders dann brisant, wenn sie sich nutzen lassen, um aus exponierten Komponenten heraus auf interne Dienste zuzugreifen.

Auf der Client-Seite stehen zwei Browser-nahe Lücken aus dem Hause Google im Fokus. CVE-2026-3909 betrifft die Grafikbibliothek Skia mit einem Out-of-bounds-Write, während CVE-2026-3910 die JavaScript-Engine Chromium V8 mit einer unzureichenden Beschränkung von Operationen innerhalb der Grenzen eines Speicherpuffers adressiert. Beide Schwachstellen-Klassen sind typische Einfallstore für die Kompromittierung über manipulierte Inhalte und gehören zu den am häufigsten ins Visier genommenen Angriffsflächen moderner Browser.

Einen lehrreichen Sonderfall liefert das Umfeld von Cisco Catalyst SD-WAN. Hier warnte VulnCheck davor, dass gefälschte Proof-of-Concepts vom eigentlichen Risiko ablenken – ein Hinweis darauf, wie sehr das öffentliche Bild einer Schwachstelle durch zweifelhafte oder irreführende Exploit-Veröffentlichungen verzerrt werden kann. Parallel dazu wurde berichtet, dass die Schwachstelle CVE-2026-20127 in Cisco Catalyst SD-WAN inzwischen breit ausgenutzt wird. Die Kombination ist bezeichnend: Während kursierende Fälschungen Verteidiger in die Irre führen können, schreitet die reale Ausnutzung der zugrunde liegenden Lücke voran. Für die Praxis bedeutet das, sich nicht von der Lautstärke einzelner PoC-Veröffentlichungen leiten zu lassen, sondern Priorisierung und Gegenmaßnahmen an belastbaren Informationen über tatsächliche Ausnutzung auszurichten.

Ransomware-Lage

Die Ransomware-Front bleibt in dieser Woche unverändert aktiv. Zu den auffälligen Gruppen zählen unter anderem qilin und akira, die seit geraumer Zeit zu den verlässlich präsenten Akteuren in diesem Feld gehören. Daneben traten nightspire, coinbasecartel, incransom, payload und thegentlemen in Erscheinung – eine Auswahl der aktivsten Gruppen, die nicht den Anspruch erhebt, das gesamte Geschehen abzubilden. Schon diese Auswahl zeigt jedoch, wie breit das Spektrum der derzeit operierenden Erpresser-Kollektive aufgestellt ist.

Charakteristisch bleibt das arbeitsteilige, professionalisierte Vorgehen dieser Szene: Verschlüsselung von Systemen, Abfluss sensibler Daten und die Drohung mit deren Veröffentlichung greifen ineinander, um den Druck auf die betroffenen Organisationen zu erhöhen. Dass mehrere Gruppen gleichzeitig aktiv sind, deutet weniger auf eine einzelne, dominierende Kampagne hin als auf ein anhaltend dichtes Grundrauschen aus vielen parallel laufenden Aktivitäten.

Bemerkenswert ist in dieser Woche, dass auch Einrichtungen im deutschsprachigen Raum betroffen waren. Das verdeutlicht erneut, dass Ransomware kein abstraktes oder geografisch fernes Phänomen ist, sondern unmittelbar auch Organisationen in der Region trifft. Über einzelne geschädigte Häuser hinweg lässt sich festhalten, dass die Angriffe quer durch verschiedene Branchen verlaufen und sich nicht auf einen einzelnen Sektor beschränken.

Für Verteidiger ergibt sich daraus ein klarer Auftrag: Die Eintrittsvektoren, die diese Gruppen typischerweise nutzen – exponierte Dienste, schwach geschützte Fernzugänge und ungepatchte, von außen erreichbare Systeme – decken sich erheblich mit den in dieser Woche diskutierten Schwachstellen. Die anhaltende Aktivität der genannten Gruppen unterstreicht damit, wie eng das Schließen ausgenutzter Lücken und die Abwehr von Erpressungsangriffen zusammenhängen.

Bemerkenswerte Vorfälle und Themen der Woche

Die Berichterstattung der Woche wird klar von zwei Themensträngen geprägt. Der erste dreht sich um Ivanti Endpoint Manager: Die zuständige Behörde CISA nahm die aktiv ausgenutzte Schwachstelle in ihren Bestand bekannter ausgenutzter Lücken auf und verband dies mit einer unmissverständlichen Aufforderung an die nachgeordneten Stellen, zeitnah zu patchen. Dass eine Lücke nicht nur als gefährlich eingestuft, sondern mit einer verbindlichen Handlungsaufforderung versehen wird, markiert den Ernst der Lage – und sendet zugleich ein Signal an Organisationen über den unmittelbar adressierten Behördenkreis hinaus, die eigenen Bestände dringend zu prüfen.

Der zweite Strang betrifft Cisco Catalyst SD-WAN. Hier verschränken sich zwei Aspekte zu einer instruktiven Geschichte: Auf der einen Seite die Warnung von VulnCheck, dass gefälschte Proof-of-Concepts die Diskussion verzerren und vom eigentlichen Risiko ablenken; auf der anderen Seite die Beobachtung, dass die betreffende Schwachstelle inzwischen breit ausgenutzt wird. Diese Konstellation ist ein Lehrstück über den Umgang mit Bedrohungsinformationen. Gerade in einer Phase, in der öffentlich kursierende Exploit-Bausteine schnell für Aufmerksamkeit sorgen, kommt es darauf an, Signal von Rauschen zu trennen und die eigene Priorisierung an der tatsächlichen Ausnutzung auszurichten statt an der Sichtbarkeit einzelner Veröffentlichungen.

In der Zusammenschau fügen sich die Themen der Woche zu einer konsistenten Botschaft: Behördliche Patch-Aufforderungen, die Verzerrung des Lagebilds durch zweifelhafte PoCs und die fortlaufende reale Ausnutzung kritischer Lücken gehören zusammen. Wer in dieser Gemengelage handlungsfähig bleiben will, stützt seine Entscheidungen auf belastbare Quellen, spielt verfügbare Korrekturen für die exponierten Systeme konsequent ein und behält die anhaltende Aktivität der Erpressergruppen als dauerhaften Hintergrund im Blick. Die etwas ruhigere Woche bei neuen ausgenutzten Schwachstellen ist damit kein Grund zum Durchatmen, sondern ein günstiges Zeitfenster, um liegengebliebene Maßnahmen nachzuziehen.