KW 23/2026: Aktiv ausgenutzte Infrastruktur-Lücken und anhaltender Druck durch Ransomware

Überblick und Einordnung der Woche

Die Woche zeichnet ein vertrautes, aber keineswegs beruhigendes Bild: Im Mittelpunkt stehen erneut Schwachstellen in zentralen Unternehmenssystemen, die entweder bereits aktiv ausgenutzt werden oder sich aufgrund ihrer Position in der Infrastruktur besonders gut für anschließende Angriffe eignen. Auffällig ist dabei die thematische Breite. Betroffen sind Web-Anwendungen im E-Commerce-Umfeld, Kernkomponenten von Android und Linux, klassische Middleware in Rechenzentren sowie Dateiübertragungsdienste, die häufig direkt oder indirekt aus dem Internet erreichbar sind. Damit setzt sich der Eindruck fort, dass Angreifer nicht auf ein einzelnes Technologiefeld fixiert sind, sondern opportunistisch dort ansetzen, wo Systeme exponiert, schwer zu härten oder in der Praxis lange im Betrieb sind.

Parallel dazu unterstreichen die meistgelesenen Themen der Woche, dass Verteidiger weiterhin mit einer Mischung aus Altlasten und akuten Lücken umgehen müssen. Besonders relevant ist, dass mehrere Meldungen auf aktive Ausnutzung hinweisen und teils Produkte betreffen, die in vielen Unternehmensnetzen eine Schlüsselfunktion einnehmen. Das verschärft den Handlungsdruck, weil bei solchen Systemen oft nicht nur ein einzelner Dienst, sondern gleich ganze Betriebsabläufe, Fernzugänge oder Verwaltungsfunktionen berührt werden. In der Gesamtschau ergibt sich daher kein sprunghafter Eskalationsmoment, wohl aber eine anhaltend hohe operative Belastung für Security-Teams.

Hinzu kommt die unverändert rege Ransomware-Lage. Mehrere bekannte Gruppen bleiben sichtbar aktiv, und die gemeldeten Fälle zeigen erneut, dass auch Organisationen im deutschsprachigen Raum in das Blickfeld der Täter geraten. Auffällig ist dabei weniger ein völlig neues Muster als vielmehr die Kontinuität: Angriffe auf erreichbare Infrastruktur, Ausnutzung von Schwachstellen oder Fehlkonfigurationen, anschließende Privilegienausweitung und am Ende die Monetarisierung über Erpressung. Gerade diese Kette verbindet die technischen Themen der Woche direkt mit der Bedrohungslage im Bereich Ransomware.

Schwachstellen und ausgenutzte Sicherheitslücken

Im Vordergrund steht unter anderem CVE-2026-45247 in Mirasvit Full Page Cache Warmer. Die gemeldete Deserialisierung nicht vertrauenswürdiger Daten ist gerade deshalb brisant, weil solche Fehlerklassen in der Praxis häufig tief in die Anwendungslogik eingreifen und bei ungünstiger Konstellation ohne Authentifizierung erreichbar sein können. Für Betreiber von Magento-nahen Erweiterungen und Webshop-Umgebungen ist das besonders heikel, weil diese Systeme direkt geschäftskritische Prozesse berühren und bei erfolgreicher Kompromittierung nicht nur als Einstiegspunkt dienen, sondern auch sensible Anwendungsdaten oder nachgelagerte Systeme in Mitleidenschaft ziehen können.

Mit CVE-2025-48595 im Android Framework rückt zudem ein altbekanntes Problemfeld in den Fokus: lokale Rechteausweitung über eine Schwachstelle, die Codeausführung ermöglichen kann. Auch wenn der unmittelbare Angriffsvektor hier nicht derselbe ist wie bei internetseitig exponierten Serverprodukten, bleibt die sicherheitstechnische Relevanz hoch. Solche Lücken sind oft besonders wertvoll in mehrstufigen Angriffsketten, etwa wenn ein erster Zugriff auf ein Gerät bereits vorliegt und anschließend höhere Privilegien benötigt werden, um Schutzmechanismen zu umgehen, Daten abzugreifen oder Persistenz zu etablieren. Für mobile Flotten in Unternehmen bedeutet das vor allem, dass Patch- und Gerätemanagement nicht isoliert betrachtet werden dürfen, sondern Teil des gesamten Angriffsflächen-Managements sein müssen.

Ebenfalls weiterhin relevant ist CVE-2022-0492 im Linux Kernel. Die Schwachstelle rund um cgroups v1 release_agent ist seit längerem bekannt, taucht aber immer wieder in Diskussionen über Container-Sicherheit, Privilegienausweitung und die Trennung von Workloads auf. Gerade weil Linux in Rechenzentren, Cloud-Umgebungen und Appliances eine zentrale Rolle spielt, behalten solche Kernel-Lücken ihr Gewicht weit über den ursprünglichen Veröffentlichungszeitpunkt hinaus. Die anhaltende Relevanz zeigt, dass bekannte Schwachstellen in produktiven Umgebungen keineswegs automatisch verschwinden, sondern häufig als Baustein in realen Angriffen erhalten bleiben, wenn Legacy-Konfigurationen, alte Distributionen oder unvollständig modernisierte Plattformen im Einsatz sind.

Mit CVE-2024-21182 betrifft eine weitere kritische Klasse von Schwachstellen Oracle WebLogic Server. Netzwerkseitig erreichbare Probleme in Middleware und Application-Servern sind regelmäßig besonders attraktiv für Angreifer, weil sie oft tief in Unternehmensanwendungen verankert sind und in vielen Umgebungen eine hohe Berechtigungsstufe besitzen. Dass hier ein nicht authentifizierter Angriff über Protokolle wie T3 oder IIOP im Raum steht, macht die Lücke aus Verteidigersicht besonders unangenehm: Solche Protokollpfade sind im Alltag nicht immer gleich sichtbar, können aber in internen wie externen Zugriffsszenarien erhebliche Risiken mit sich bringen. Für viele Organisationen ist WebLogic zudem kein Randprodukt, sondern Teil gewachsener Fachanwendungen, was Gegenmaßnahmen organisatorisch erschwert.

Ein besonders sichtbares Wochenthema ist CVE-2026-28318 in SolarWinds Serv-U. Die Lücke betrifft eine unkontrollierte Ressourcenbeanspruchung über speziell präparierte POST-Anfragen mit deflate-Kompression. Dass CISA die Schwachstelle in den KEV-Katalog aufgenommen hat, verleiht dem Thema zusätzliches Gewicht, weil dies auf eine konkrete operative Relevanz hinweist. Auch wenn es sich hier um eine DoS-Problematik handelt und nicht zwingend um unmittelbare Codeausführung, sollte die Gefahr nicht unterschätzt werden: Dateiübertragungsdienste sind oft geschäftskritisch, dienen als Integrationspunkt mit Partnern oder Kunden und können bei Ausfällen erhebliche operative Folgen verursachen. Zugleich können Störungen an solchen Systemen Angreifern als Ablenkung oder zur Vorbereitung weiterer Schritte dienen.

Die begleitenden Meldungen der Woche verstärken dieses Bild. Cisco warnt vor einer aktiv ausgenutzten Lücke im Catalyst SD-WAN Manager, noch ohne Patch. Gerade Management-Plattformen für verteilte Netzinfrastrukturen sind aus Angreifersicht hochattraktiv, weil sie Sichtbarkeit, Steuerungsfunktionen und oft weitreichende Berechtigungen bündeln. Ebenso alarmierend ist der Hinweis der belgischen Cyberbehörde auf aktive Angriffe gegen eine kritische Netlogon-Lücke in Windows Server. Netlogon ist kein Nischendienst, sondern ein elementarer Bestandteil vieler Windows-Domänen, sodass Schwachstellen in diesem Bereich potenziell weitreichende Folgen für Identität, Authentisierung und Vertrauensstellungen haben. Hinzu kommt die erneut beobachtete aktive Ausnutzung einer Authentifizierungs-Umgehung in Palo Altos PAN-OS GlobalProtect. Fernzugangslösungen bleiben damit einmal mehr eines der sensibelsten Segmente der Unternehmens-IT: Wer hier erfolgreich ansetzt, greift nicht nur einen einzelnen Dienst an, sondern oft den kontrollierten Zugang zum internen Netz.

In der Gesamtschau zeigt sich ein klares Muster. Im Fokus stehen nicht exotische Einzelfälle, sondern Produkte und Komponenten, die zentrale Rollen in Verwaltung, Zugriff, Kommunikation und Anwendungsbetrieb spielen. Das erhöht die operative Brisanz jeder einzelnen Schwachstelle und erklärt, warum sich die Woche trotz fehlender völlig neuer Großthemen insgesamt angespannt anfühlt.

Ransomware-Lage

Bei den aktiven Gruppen fallen in dieser Woche unter anderem thegentlemen, qilin, incransom, akira, play, safepay und dragonforce auf. Diese Auswahl steht exemplarisch für eine Bedrohungslage, die sich weiterhin durch Kontinuität statt Überraschung auszeichnet. Die bekannten Namen bleiben präsent, wechseln ihre Ziele und Taktiken im Detail, folgen aber weiterhin der Logik opportunistischer Angriffe auf verwundbare oder unzureichend geschützte Umgebungen.

Auffällig ist vor allem, wie eng die Ransomware-Lage mit den technischen Wochenthemen verzahnt ist. Schwachstellen in Remote-Zugängen, Management-Systemen, Server-Middleware oder Dateiübertragungsdiensten schaffen genau jene Ansatzpunkte, die auch für Erpressungsangriffe attraktiv sind. Selbst dort, wo eine Lücke zunächst „nur“ auf Ausfall oder lokale Rechteausweitung hinausläuft, kann sie in einer mehrstufigen Operation wertvoll sein: zur Vorbereitung eines Erstzugriffs, zur Bewegung im Netzwerk oder zur Stabilisierung bereits erlangter Kontrolle. Die Trennung zwischen klassischem Schwachstellenmanagement und Ransomware-Abwehr wirkt deshalb in der Praxis zunehmend künstlich.

Bei Gruppen wie akira, play oder qilin zeigt sich erneut, dass die Täterlandschaft nicht nur aus technisch besonders ausgefeilten Kampagnen besteht, sondern auch von der konsequenten Ausnutzung alltäglicher Schwächen lebt. Für betroffene Organisationen bedeutet das, dass nicht nur hochkritische Zero-Day-Szenarien gefährlich sind, sondern ebenso altbekannte Fehlstellen in Authentisierung, Segmentierung und extern erreichbaren Diensten. Gruppen wie incransom, safepay, dragonforce oder thegentlemen stehen in dieser Woche ebenfalls für eine Breite des Marktes, in dem verschiedene Akteure parallel operieren, voneinander lernen und ähnliche Gelegenheiten nutzen.

Dass auch Einrichtungen im deutschsprachigen Raum betroffen waren, fügt sich in dieses Muster ein. Es gibt keinen Hinweis auf eine regionale Sonderlage, wohl aber auf die fortgesetzte Einbindung der Region in das allgemeine Angriffsgeschehen. Gerade dort, wo mittelständisch geprägte IT-Landschaften auf heterogene Infrastruktur, ausgelagerte Dienste und gewachsene Identitätssysteme treffen, bleiben die Erfolgsaussichten für Erpresser aus ihrer Sicht attraktiv. Die Woche liefert damit keine Entwarnung, sondern bestätigt den anhaltenden Druck durch mehrere parallel aktive Gruppen.

Bemerkenswerte Vorfälle und Themen der Woche

Besonders prägend ist die Meldung, dass CISA die aktiv ausgenutzte DoS-Lücke in SolarWinds Serv-U in den KEV-Katalog aufgenommen hat. Solche Aufnahmen wirken in der Sicherheitscommunity regelmäßig wie ein Signalverstärker: Ein Problem wird dadurch nicht technisch gefährlicher, aber es erhält eine andere operative Priorität. Für viele Verteidiger ist das ein deutlicher Hinweis, dass die Schwachstelle nicht nur theoretisch relevant ist, sondern in realen Angriffsszenarien angekommen ist. Im Fall von Serv-U betrifft das einen Dienst, der in vielen Umgebungen direkt in den Datenaustausch eingebunden ist und damit schnell geschäftskritisch werden kann.

Ebenfalls hohe Aufmerksamkeit erzeugt die Warnung von Cisco vor einer aktiv ausgenutzten Lücke im Catalyst SD-WAN Manager, noch ohne Patch. Gerade diese Kombination aus bestätigter Ausnutzung und fehlender Herstellerkorrektur macht solche Fälle besonders heikel. Security-Teams müssen dann oft mit Übergangsmaßnahmen arbeiten, also mit Einschränkungen von Erreichbarkeit, zusätzlicher Überwachung, Härtung und klaren Kommunikationswegen in den Betrieb hinein. Dass ein SD-WAN-Managementsystem betroffen ist, verstärkt die Brisanz: Wer solche Plattformen kompromittiert, greift potenziell die Steuerung verteilter Netze an und gewinnt damit einen Hebel, der weit über ein einzelnes Gerät hinausgehen kann.

Die Meldung der belgischen Cyberbehörde zu aktiven Angriffen auf eine kritische Netlogon-Lücke in Windows Server sticht ebenfalls heraus, weil sie ein Fundament vieler Unternehmensumgebungen betrifft. Wenn Angriffe auf Netlogon beobachtet werden, ist das nicht bloß eine weitere Schwachstellenwarnung, sondern berührt direkt das Vertrauen in Identitäts- und Domänenstrukturen. Solche Themen haben immer eine besondere Tragweite, weil sie nicht an der Peripherie stattfinden, sondern am Kern administrativer Kontrolle. Entsprechend hoch ist die Aufmerksamkeit in Umgebungen, die auf gewachsene Windows-Infrastrukturen angewiesen sind.

Abgerundet wird das Wochenbild durch die erneute aktive Ausnutzung einer Authentifizierungs-Umgehung in Palo Altos PAN-OS GlobalProtect. Dass das Thema wiederkehrt, ist an sich schon die Nachricht: Fernzugänge bleiben ein bevorzugtes Ziel, und bekannte Schwachstellen in diesem Bereich verlieren ihre Relevanz nur langsam. GlobalProtect steht damit stellvertretend für eine Kategorie von Systemen, bei denen Sicherheitslücken unmittelbare Auswirkungen auf den Zugang zum internen Netz haben können. Für Angreifer ist das attraktiv, für Verteidiger besonders kritisch, weil hier häufig externe Erreichbarkeit, privilegierte Vertrauensstellung und hoher Betriebsdruck zusammenkommen.

Zusammengenommen erzählen diese Themen eine konsistente Geschichte der Woche. Die Aufmerksamkeit richtet sich auf Produkte, die zentrale Schaltstellen moderner IT darstellen: Dateiübertragung, Netzwerksteuerung, Domänenfunktionen und Fernzugänge. Genau diese Konzentration auf infrastrukturelle Schlüsselkomponenten erklärt, warum die Lage ähnlich angespannt bleibt wie in der Vorwoche. Nicht ein singulärer Großvorfall dominiert das Bild, sondern die Summe mehrerer konkret ausnutzbarer oder bereits ausgenutzter Schwachstellen in Systemen, deren Ausfall oder Kompromittierung unmittelbare Folgen für Betrieb und Sicherheit hat.