Am 22. Januar 2026 hat die United States Agency for Infrastructure and Cybersecurity ( CISA) vier kritische Fehler in seinem Katalog bekannter und ausgenutzter Schwachstellen ( KEV) Diese Inklusion ist nicht nur informativ: es bedeutet, dass es Beweise für eine aktive Ausbeutung in der Natur gibt und dass Organisationen die Minderung priorisieren sollten. Wenn die CISA eine Schwachstelle als "exploitiert" bezeichnet, betont sie ein unmittelbares Risiko für Netzwerke und Anwendungen.
Das erste Problem, das die Warnung verursachte betrifft Synacor Zimbra Collaboration Suite und erscheint als CVE-2025-68645. Dies ist eine Remote-Datei-Inklusion-Variante, die es einem Angreifer ermöglicht, Anfragen an den Endpunkt "/h / rest" zu erstellen, um beliebige Dateien aus dem WebRoot-Verzeichnis ohne Authentifizierung zu bringen. In der Praxis kann dies sensible Daten aussetzen oder die Codeausführung auf Mail- und Kollaborationsservern zulassen, wenn sie nicht gepatelt werden. Synacor korrigierte den Fehler im November 2025 mit der Veröffentlichung Zimbra 10.1.13, und CISA zeigt an, dass die Ausbeutung dieser Schwachstelle bereits nach der Analyse von Akteuren von Bedrohungen und Zeichen der Telemetrie erfolgt.
Eine weitere ernsthafte Feststellung entspricht CVE-2025-34026, eine Authentifizierungs-Bypass entdeckt auf der SD-WAN-Orchestrationsplattform von Versa, Concerto. Ein Eindringling, der diesen Fehler ausnutzt, kann ohne entsprechende Anmeldeinformationen auf administrative Endpunkte zugreifen, was Seitenbewegungen, Konfigurationsänderung oder schädliche Code-Bereitstellung erleichtert. Versa veröffentlichte Korrekturen im April 2025 mit der Version 12.2.1 GA; SD-WAN Netzbetreiber müssen ihre Aktualisierungen überprüfen und den exponierten administrativen Zugriff überprüfen. Auf diesem Problem können Sie eine technische Analyse auf dem Blog lesen Projekt.
Das vordere Ökosystem ist nicht ausgenommen. Die Vite-Bibliothek, die für den Aufbau moderner Web-Anwendungen verwendet wird, hat im März 2025 einen Fehler bei der Zugriffskontrolle geschlossen ( CVE-2025-31125) die den Inhalt beliebiger Dateien an den Browser über Parameter wie z.B. zurückgeben können? Inline & Import oder? Import. Obwohl der CVSS-Score moderat ist, kann interne Dateiexposition Geheimnisse offenbaren oder Datenexfiltration zulassen. Die Korrekturen sind in den Versionen 6.2.4, 6.1.3, 6.0.13, 5.4.16 und 4.5.11 so Entwicklungsteams und DevOps sollten die Pakete aktualisieren und kontinuierliche Integrationspipelines überprüfen, um gefährdete Abhängigkeiten zu beseitigen.
Vielleicht ist der Fall, der am besten die Bedrohung für die Softwareversorgung zeigt, CVE-2025-54313, mit einer Kampagne der Sabotage gegen mehrere Npm-Pakete, einschließlich slint-config-prettier. Die Angreifer tricked die Betreuer mit Phishing-E-Mails, die administrative Aufgaben simulierten - in der Tat falsche Links, die stole Anmeldeinformationen - und veröffentlichte Litzenversionen, die ein bösartiges Ladegerät namens "Scavenger Loader", um einen furtiven Info-Stealer. Dieser Vorfall, der im Juli 2025 öffentlich erkannt wurde, ist eine Erinnerung daran, dass die Software-Versorgungskette ein kritischer Vektor ist: nicht nur der Code, den wir schreiben, sondern der ihn veröffentlicht und wie die Wartungskonten validiert werden, genauso wie die Abhängigkeiten selbst.
Im Fall von CVE-2025-68645 werden Nachrichtenberichte und Detektionssysteme wie CrowdSec zeigen ausbeutende Aktivität seit Mitte Januar 2026, was bestätigt, dass dies keine theoretische Bedrohung ist. Für die anderen Schwachstellen gab die CISA an, dass es Anzeichen einer aktiven oder potenziellen Ausbeutung gab, obwohl technische Details jeder Kampagne nicht immer veröffentlicht wurden. Dieser Mangel an öffentlichen Details reduziert nicht die Dringlichkeit: Wenn die Zentrale Bundesagentur auf einen Ausfall im KEV-Katalog verweist, liegt es daran, dass es ein nachgewiesenes Risiko für kritische Infrastruktur- und Regierungsdienste gibt.
Die Regulierungspflichten erschweren den Zeitplan: Bindung Betriebsrichtlinie (BOD) 22-01, die Agenturen der US-Bundesleitung. UU muss Patches für ausgenutzte Schwachstellen innerhalb strenger Fristen anwenden. Für diese vier Misserfolge betrug die Abschwächungsfrist am 12. Februar 2026, was zusätzlichen Druck auf Sicherheitsausrüstungen und -operationen zur Priorisierung von Inventar, Testung und Bereitstellung von Updates ohne Beeinträchtigung der Servicekontinuität anwendet.
Für Organisationen außerhalb der Bundesebene ist die praktische Empfehlung die gleiche: anzunehmen, dass die Ausbeutung real ist und Maßnahmen priorisieren. Aktualisieren Sie korrigierte Versionen, Audit-Netzwerk-Belichtungen, rotieren Sie repository-bezogene Anmeldeinformationen und überwachen Sie Zugriffsdaten sind wesentliche Schritte. Insbesondere sollten Wartung und Ausrüstung, die auf npm-Pakete vertrauen, die Sicherheit ihrer Konten - Multi-Faktor-Authentifizierung, Zugriffs-Reviews und Alarme für verdächtige Aktivität - stärken und Integritätsprüfungskontrollen in automatisierten Pipelines anwenden.
Neben Patches und Firewall-Regeln konzentriert sich diese Episode auf eine kulturelle Lektion: Sicherheit ist nicht mehr die einzige Verantwortung eines Teams; es ist eine Cross-Cutting-Practice, die Entwickler, Betreiber, Produktmanager und Systemadministratoren umfasst. Überprüfungsabhängigkeiten, ihre Publishing-Ketten und die Konten mit der Erlaubnis zu veröffentlichen ist ebenso relevant wie das Patchen eines exponierten Servers.
Wenn Sie von Zimbra, Versa, Vite oder Sie von einem der npm-Pakete betroffen sind, handeln Sie schnell. Überprüfen Sie die offiziellen Korrekturen und Sicherheitshinweise, die mit den Ressourcen des jeweiligen Lieferanten verbunden sind, überprüfen Sie Ihre Exposition und dokumentieren Sie jede Änderung. Transparenz in Reaktion und eine Nachprüfung wird dazu beitragen, die Auswirkungen zu verringern und die Wiedereröffnung des gleichen Ausfalls in Zukunft zu verhindern.
Zur Vertiefung bieten die CISA-Seite mit dem Alarm und der KEV-Katalog den offiziellen Ausgangspunkt ( Alarmstufe und KEV Katalog), CVE-Aufzeichnungen bieten Details zu jedem Eintrag und unabhängige Projekt- und Analysehinweise bieten technischen Kontext und praktische Empfehlungen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...