Die amerikanische Agentur CISA hat in seinem Katalog von bekannten und ausgenutzten Sicherheitslücken (KEV) vier Sicherheitsversagen enthalten, die einer dringenden Warnung gleichwertig sind: Es gibt Beweise, dass Angreifer bereits in realen Umgebungen davon profitieren. Diese Schwachstellen beeinflussen Teile sehr unterschiedlich vom Software-Ökosystem: von Web-Entwicklungstools bis zu Business-Plattformen und JavaScript-Lieferkettenpaketen.
Wenn CISA KEV einen Fehler hinzufügt, empfiehlt es sich, dass Organisationen sofort handeln. Für die US-Bundesbehörden. Die Vereinigten Staaten, vorbehaltlich der BOD-Richtlinie 22-01, benötigen die Anwendung von Patches oder Minderungen oder die Einstellung der Verwendung der betroffenen Produkte vor dem 12. Februar 2026; die anderen Organisationen sollten die gleiche Notschwelle für Vorsicht nehmen. Weitere Informationen zur Richtlinie finden Sie auf der CISA-Website in ihrem Abschnitt auf BOD 22-01: https: / / www.cisa.gov / verbindlich-operational-directive-2201.
Der erste relevante Fall ist ein Ausfall der Zugriffskontrolle im vorderen Vite-Tool, registriert als CVE-2025-31125. Diese Schwachstelle, die ursprünglich im März letzten Jahres gemeldet wurde, ermöglicht es einem Angreifer, auf Dateien zuzugreifen, die verboten werden sollten, wenn ein Entwicklungsfall dem öffentlichen Netz ausgesetzt ist. In der Praxis tritt das häufigste Risiko auf, wenn Entwicklungsserver ohne entsprechende Einschränkungen veröffentlicht werden; Patches sind in bestimmten Versionen verfügbar (z.B. 6.2.4, 6.1.3, 6.0.13, 5.4.16 und 4.5.11), so dass es wichtig ist, die betroffenen Personen zu aktualisieren oder sicherzustellen, dass sie nicht aus dem Internet zugänglich sind.
Im zweiten Fall wird auf die Art der Wirkung hingewiesen: CVE-2025-34026 ist eine kritische Verwundbarkeit der Authentifizierungs-Omission auf der SD-WAN-Orchestrationsplattform von Versa Concerto. Das Problem kommt von einer Fehlstellung der Reverse-Proxy (Traefik), die interne administrative Endpunkte - einschließlich der Actuator-Schnittstelle - zugänglich macht und somit schwere Speicherspins und Trace Records freigibt. Obwohl CISA das Concerto 12.1.2 bis 12.2.0-Versionen als betroffen identifiziert hat, ist es ratsam, andere Zweige des Produkts zu überprüfen. Externe Forscher (einschließlich ProjectDiscovery) berichteten die Fehler an den Hersteller und Versa veröffentlichten Korrekturen; weitere Informationen zu den Forschern finden Sie bei Projekt und in spezialisierten Medien wie BlepingComputer, die den Berichtsprozess und die Antwort des Lieferanten abdeckte.
Das dritte Problem ist ein Muster, das eine alte Angst vor modernen Organisationen wiederholt: die Überprüfung der Lieferkette. Der Eingang CVE-2025-54313 ist mit dem Paket verbunden Eslint-config-prettier, verwendet, um Konflikte zwischen ESLint und Prettier zu lösen. Im Juli des Vorjahres wurden einige beliebte JavaScript Community-Pakete in npm entführt und schädliche Versionen veröffentlicht, die ein Installationsskript - install.js - in der Lage, eine Binär unter Windows (node-gyp.dll) entwickelt, um npm Authentifizierungs-Token zu stehlen. Die identifizierten kompromittierten Versionen umfassen 8.10.1, 9.1.1, 10.1.6 und 10.1.7. Die Nachricht hier ist klar: jede Abhängigkeit von Drittanbietern, die automatisch installiert wird, kann ein Vektor von Anmelde-Diebstahl oder Codeausführung werden.
Schließlich verweist CISA auf die Ausbeutung einer Schwachstelle der lokalen Dateiintegration in Zimbras Webmail Classic-Schnittstelle, die als CVE-2025-68645. Der Fehler kommt von einem Missmanagement von Parametern im RestFilter-Servoilet; ein nicht authentifizierter Angreifer kann den Endpunkt / h / ruhen, um willkürliche Dateien aus dem WebRoot-Verzeichnis laden, die sensible Daten offenbaren oder andere Betriebsschritte zulassen können. Es wirkt sich auf Zimbra 10.0 und 10.1 aus, und wie in den anderen Fällen ist die sofortige Empfehlung, die vom Hersteller bereitgestellten Updates anzuwenden oder die Minderungen zu platzieren, bis das Patch installiert ist.
In allen Fällen gibt die CISA-Note keine technischen Details über die genaue Art und Weise, wie die Angreifer die Fehler ausnutzen und zeigt nicht, ob sie in Ransomware-Kampagnen verwendet wurden; dieser Status wurde als "unbekannt" bezeichnet. Das bedeutet nicht, dass die Gefahr entfernt ist. aber die Agentur bevorzugt, keine operativen Informationen zu veröffentlichen, die mehr Missbrauch erleichtern könnten. Für Sicherheitsteams, Vorsichtsaufträge: anzunehmen, dass es echtes Risiko gibt und schnell handeln.
Was können und sollten technische Beamte jetzt tun? Die erste ist, die von den Herstellern empfohlenen offiziellen Korrekturen oder Minderungen so bald wie möglich anzuwenden. In Entwicklungsumgebungen sollte überprüft werden, ob Vite-Server der Öffentlichkeit nicht ausgesetzt sind; Entwicklungseinrichtungen müssen in internen Netzwerken oder hinter sicheren Tunneln ausgeführt werden. Für die Orchestrierung von Plattformen und Dienstleistungen, die von Reverse-Proxies ausgesetzt sind, überprüfen Sie die Routing-Regeln und stellen Sie sicher, dass interne administrative Routen und Endpunkte (als Actuator) von unzuverlässigen Netzen unzugänglich sind; Traefik und andere Proxies erlauben die Definition von Zugangsregeln und Headern, die den unberechtigten Verkehr einschränken. Angesichts einer möglichen Überprüfung von schädlichen npm-Paketen, ist es wichtig, Authentifizierungs-Tokens, saubere Anmeldeinformationen in Build- und CI / CD-Umgebungen gespeichert zu rotieren, Abhängigkeiten von zuverlässigen Quellen neu zu installieren und die Verwendung von privaten Datensätzen oder Paketsignaturen zu berücksichtigen.
Es ist auch angebracht, mittelfristige Präventionsmaßnahmen einzubeziehen: Generieren und pflegen Sie ein SBOM (Software Inventar), verwenden Sie Software-Zusammensetzung-Scan-Tools, die kompromittierte Versionen erkennen, Lockfiles und Richtlinien verwenden, die ein automatisches Heben von nicht überprüften Einheiten, Audit Proxy und Firewall-Konfigurationen verhindern und den Zugang zu administrativen Schnittstellen zu Management-Netzwerken beschränken. Monitoring ist der Schlüssel: nach Indikatoren wie unerwarteten Knoten suchen. exe-Ausführungen, Erstellung von Speicherspins zu ungewöhnlichen Zeiten, Anträge auf administrative Endpunkte aus externen IPs oder Versuche, auf WebRoot-Dateien zugreifen.
Für die unter die BOD-Richtlinie 22-01 fallenden Organisationen ist der Zeitplan nicht verfügbar: Korrekturen oder Minderungen sollten vor der von der CISA gesetzten Frist angewendet werden. Im übrigen ist die praktische Empfehlung nicht zu verzögern: Aktualisierung, Überprüfung Einstellungen und Audit Token und Geheimnisse. Wenn es Zweifel an der tatsächlichen Exposition gibt, können vorübergehend exponierte Dienstleistungen bei der Beurteilung des Risikos erhebliche Vorfälle vermeiden.
Kurz gesagt, diese vier Einträge im KEV erinnern daran, dass die moderne Sicherheit ein multidimensionales Werk ist: Das gleiche Ökosystem bringt Risiken in Entwicklungssoftware, Netzwerkinfrastruktur und Lieferkette zusammen. Schnell und mit klaren Prozeduren zu handeln, reduziert das Gelegenheitsfenster der Angreifer und begrenzt den möglichen Schaden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...