KW 17/2026: Aktiv ausgenutzte Lücken im Fokus: Authentifizierungsschwächen und anhaltender Ransomware-Druck

Überblick und Einordnung der Woche

Das Wochenbild fällt angespannter aus als zuletzt: Im Mittelpunkt stehen mehrere neu als aktiv ausgenutzt eingestufte Schwachstellen, die quer durch zentrale IT-Verwaltungs-, Fernwartungs- und Netzwerkkomponenten reichen. Auffällig ist die Häufung von Authentifizierungs- und Berechtigungsschwächen – also genau jenen Lücken, die Angreifern den Erstzugang erleichtern und anschließend eine Ausweitung von Rechten ermöglichen. Der Schwerpunkt der Woche liegt damit weniger auf exotischen Einzelfällen als auf der Ausnutzung von Infrastruktur, die in vielen Organisationen breit im Einsatz ist.

Die behördliche Lagebeobachtung trägt maßgeblich zum Gesamtbild bei: Mehrere Lücken wurden als aktiv ausgenutzt markiert und in den entsprechenden Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Das verschiebt den Charakter der betroffenen Fehler von einem theoretischen Risiko hin zu einer konkreten, beobachteten Bedrohung. Parallel dazu bleibt die Ransomware-Lage gespannt: Mehrere Gruppen zeigen anhaltende Aktivität, und auch Einrichtungen im deutschsprachigen Raum waren betroffen. In Summe ergibt sich das Bild einer Woche mit erhöhtem Handlungsdruck, in der das zügige Einspielen von Sicherheitsaktualisierungen und das Überprüfen exponierter Dienste im Vordergrund stehen.

Schwachstellen und ausgenutzte Sicherheitslücken

Besonders schwer wiegen in dieser Woche Lücken, die eine unmittelbare Übernahme oder Manipulation der betroffenen Systeme erlauben. Hervorzuheben ist eine Schwachstelle in Marimo, bei der eine Remote-Code-Ausführung bereits vor der Authentifizierung möglich ist (CVE-2026-39987); ein nicht authentifizierter Angreifer kann darüber Shell-Zugriff erlangen und beliebige Befehle ausführen. Solche Pre-Authentication-Lücken gehören zu den kritischsten Mustern überhaupt, da sie keinerlei gültige Zugangsdaten voraussetzen.

Einen zweiten Schwerpunkt bilden Authentifizierungs- und Autorisierungsfehler. In der Quest KACE Systems Management Appliance erlaubt eine Schwäche bei der Authentifizierung das Vortäuschen einer legitimen Identität (CVE-2025-32975), während in PaperCut NG/MF eine unzureichende Authentifizierung das Umgehen der Anmeldung auf verwundbaren Installationen ermöglicht (CVE-2023-27351). Verwandt gelagert ist eine fehlende Autorisierungsprüfung in SimpleHelp, durch die niedrig privilegierte Techniker API-Schlüssel mit überzogenen Berechtigungen erzeugen können (CVE-2024-57726) – ein klassischer Fall, in dem eine begrenzte Rolle zur unerwünschten Rechteausweitung missbraucht wird. In dieselbe Kategorie fällt eine Schwäche in Microsoft Defender, bei der eine zu grobe Zugriffskontrolle einem berechtigten Angreifer das Eskalieren von Rechten erlaubt (CVE-2026-33825).

Mehrere weitere Lücken betreffen den dateibasierten Zugriff und die Speicherung sensibler Daten. Im Samsung MagicINFO 9 Server lässt sich über eine Path-Traversal-Schwäche das Schreiben beliebiger Dateien erreichen (CVE-2024-7399), und in JetBrains TeamCity erlaubt ein relativer Pfaddurchlauf begrenzte administrative Aktionen (CVE-2024-27199). Im Cisco Catalyst SD-WAN Manager schließlich werden Passwörter in einem wiederherstellbaren Format gespeichert (CVE-2026-20128), was einem authentifizierten, lokalen Angreifer die Rückgewinnung von Zugangsdaten ermöglicht – eine Schwäche, die im Zusammenspiel mit anderen Lücken die Angriffskette verlängern kann.

Die Bandbreite dieser Schwachstellen verdeutlicht ein wiederkehrendes Risikomuster: Werkzeuge für Systemverwaltung, Fernwartung und Netzwerksteuerung sind besonders attraktive Ziele, weil sie weitreichende Berechtigungen bündeln und häufig zentral erreichbar sind. Wo solche Komponenten exponiert betrieben werden, sollten die verfügbaren Aktualisierungen mit hoher Priorität eingespielt und die Zugriffe auf das notwendige Minimum beschränkt werden.

Ransomware-Lage

Die Ransomware-Lage bleibt von anhaltender Aktivität mehrerer Gruppen geprägt. Aus dem Geschehen dieser Woche stechen unter anderem qilin, akira, incransom und lockbit5 hervor, ergänzt um Akteure wie coinbasecartel, thegentlemen und payload. Diese Auswahl ist ausdrücklich nicht als vollständige Übersicht zu verstehen, sondern als Momentaufnahme der derzeit auffälligsten Akteure – das Feld ist breiter und in Bewegung.

Charakteristisch bleibt das arbeitsteilige Vorgehen der Szene: Erstzugänge entstehen häufig über exponierte Fernzugriffs- und Verwaltungsdienste sowie über bekannte, unzureichend geschlossene Schwachstellen – genau jene Klasse von Lücken, die auch in dieser Woche im Vordergrund steht. Daran schließen sich Rechteausweitung, seitliche Bewegung im Netz und schließlich die Verschlüsselung sowie der Abfluss von Daten an. Das Modell der doppelten Erpressung, bei dem zusätzlich mit der Veröffentlichung entwendeter Informationen gedroht wird, bleibt das prägende Muster.

Bemerkenswert ist, dass auch Einrichtungen im deutschsprachigen Raum betroffen waren. Das unterstreicht, dass die Aktivität dieser Gruppen keineswegs auf einzelne Regionen begrenzt ist, sondern Organisationen unterschiedlicher Branchen und Größen treffen kann. Für die Verteidigung ergeben sich daraus klare Schwerpunkte: das konsequente Härten und Überwachen von Fernzugängen, eine durchgängige Mehrfaktor-Absicherung administrativer Konten, eine belastbare und getestete Datensicherung sowie die Fähigkeit, ungewöhnliche Zugriffe und Bewegungen im Netz frühzeitig zu erkennen. Gerade weil sich die Liste aktiver Gruppen laufend verändert, zählt weniger die Beobachtung einzelner Namen als die Robustheit gegenüber dem gemeinsamen Vorgehensmuster.

Bemerkenswerte Vorfälle und Themen der Woche

Die Berichterstattung der Woche wird stark von der behördlichen Einstufung aktiv ausgenutzter Schwachstellen geprägt. So wurden Lücken in Produkten von Cisco sowie in Kentico und Zimbra als aktiv ausgenutzt eingestuft – ein deutliches Signal, dass diese Schwächen nicht nur theoretisch bestehen, sondern bereits in laufenden Angriffen verwendet werden. Ergänzend wurde eine ganze Reihe aktiv ausgenutzter Schwachstellen in den Katalog bekannter ausgenutzter Lücken aufgenommen, was den Druck zum zeitnahen Handeln zusätzlich erhöht.

Einen eigenen Schwerpunkt bildet die Netzwerkinfrastruktur: Eine weitere SD-WAN-Lücke im Cisco Catalyst Manager wurde als aktiv ausgenutzt markiert. Damit rückt erneut eine Komponente in den Fokus, die zentrale Steuerungsfunktionen für vernetzte Standorte übernimmt und deren Kompromittierung weitreichende Folgen haben kann. Solche Verwaltungsplattformen sind für Angreifer besonders lohnend, weil sie Kontrolle über viele nachgelagerte Systeme versprechen.

Als weiteres prägendes Thema sticht eine aktiv ausgenutzte Lücke in Apache ActiveMQ hervor, von der eine erhebliche Zahl über das Internet erreichbarer Server betroffen ist. Der Fall illustriert ein wiederkehrendes Grundproblem: Sobald eine ausnutzbare Schwachstelle in einer weit verbreiteten, häufig exponiert betriebenen Software bekannt wird, entsteht durch die schiere Menge erreichbarer Instanzen eine breite Angriffsfläche. Die Geschwindigkeit, mit der solche Dienste abgesichert oder vom offenen Netz getrennt werden, entscheidet maßgeblich über das tatsächliche Risiko.

In der Zusammenschau zeichnen die Themen der Woche ein konsistentes Bild: Der Schwerpunkt liegt auf aktiv ausgenutzten Schwachstellen in breit eingesetzter Verwaltungs-, Kommunikations- und Netzwerkinfrastruktur, flankiert von anhaltendem Ransomware-Druck. Für betroffene Organisationen bedeutet das vor allem, exponierte Dienste konsequent zu inventarisieren, als aktiv ausgenutzt markierte Lücken bevorzugt zu schließen und die Erreichbarkeit kritischer Verwaltungssysteme aus dem offenen Netz kritisch zu hinterfragen.