Die US Cyber Security Agency CISA hat in dieser Woche erneut Alarm ausgelöst, indem sie drei ernsthafte Fehler in ihren Katalog von Bekannte Exploited Schwachstellen (KEV), eine Aufzeichnung, die Sicherheitslücken mit Nachweis der aktiven Ausbeutung sammelt. Dies sind keine bloßen Empfehlungen: Wenn die CISA einen Eintritt in die KEV einleitet, trägt sie in der Regel sofortige Verpflichtungen für Bundesbehörden und in der Praxis Prioritäten für Sicherheitsteams auf der ganzen Welt. Die offizielle Ausschreibung ist auf der CISA-Website verfügbar ( siehe Kommunikation)
Die drei zusätzlichen Fehler sind in der Natur unterschiedlich, aber sie teilen etwas störend: Sie alle erlauben einem Angreifer, normale Barrieren zu überspringen und Ressourcen zu erreichen oder Code mit erheblichen Auswirkungen auszuführen. Die erste, registriert als CVE-2021-22054(CVSS 7.5), ist eine SSRF Schwachstelle in Omnissa Workspace One EMU - die Plattform, die zuvor VMware Workspace One EMU - war. Ein SSRF (Server-Seiten-Anfrage-Forgery) ermöglicht es einem Angreifer, den Server zu induzieren, um Anfragen an Ziele zu stellen, die normalerweise nicht von außen zugänglich wären, mit der Möglichkeit, auf sensible Daten oder interne Ressourcen zuzugreifen. Technische Forschung, wie z.B. die von Vermögenswerte, beschreiben, wie dieser Fehler ohne Authentifizierung ausgenutzt werden kann und wie er in breitere Kampagnen passt.
Die zweite Schwachstelle, CVE-2025-26399(CVSS 9.8), betrifft die AjaxProxy-Komponente von SolarWinds Web Help Desk. Dies ist eine Deerialisierung unzuverlässiger Daten, eine Art Fehler, der es einem Angreifer oft ermöglicht, manipulierte Daten zu senden, die bei der Deerialisierung auf dem Server die Ausführung von Befehlen verursachen. CISA weist darauf hin, dass dieser Vektor verwendet wurde, um anfänglichen Zugriff auf Zielumgebungen zu erhalten, eine Aktivität, die nach Berichten, die von der Agentur gesammelt werden, mit Operationen der Ransomware-Gruppe als Warlock verknüpft ist.
Der dritte Eintrag ist CVE-2026-1603(CVSS 8.6), eine Schwachstelle im Ivanti Endpoint Manager, die es ermöglicht, Authentifizierung durch alternative Routen oder Kanäle zu vermeiden und möglicherweise gespeicherte Anmeldeinformationen zu extrahieren. Zur Zeit wurden keine soliden öffentlichen Details über Massenausbeutungstechniken für diese Verwundbarkeit veröffentlicht; Ivanti unterhält eine Sicherheitsbulletin auf EPM, die nach den verfügbaren Informationen ihren Betriebszustand noch nicht vollständig widerspiegelt.
Die Entscheidung, diese Fehler in den KEV einzubeziehen, ist nicht rein beschreibend: sie wird von spezifischen Handlungsfristen begleitet. Vor dem 12. März 2026 forderte die CISA die Regierungsbehörden des Bundes dazu auf, den Ausfall des SolarWinds Web Help Desk zu korrigieren und die verbleibenden Mittel - die SSRF in Workspace One und das Versagen von Ivanti - vor dem 23. März 2026 anzuwenden. Diese Daten unterstreichen die Dringlichkeit: Wenn eine Sicherheitslücke in der Natur ausgenutzt wird, kann das Belichtungsfenster sehr schnell für diejenigen schließen, die für diejenigen, die nicht parken und gefährlich öffnen.
Warum ist das außerhalb des Bundesumkreises? Da viele der betroffenen Technologien in Unternehmen und Lieferanten vorhanden sind, werden die beobachteten Angriffsmuster häufig im privaten Sektor repliziert. Die Kombination aus nicht authentifiziertem SSRF, Deerialisationsausfällen und Authentifizierungsbypass erzeugt eine Kette von Risiken, die aus der Filtration von internen Geheimnissen zur entfernten Ausführung und anschließenden Implantation von Ansomware führen können. CISA fasst dies zusammen, indem betont wird, dass diese Arten von Schwachstellen häufige Vektoren für schädliche Akteure sind und eine echte Gefahr für das "föderale Unternehmen" darstellen, aber Logik gilt gleichermaßen für jede Organisation mit ähnlicher Exposition.
Aus praktischer Sicht ist die sofortige Reaktion, offizielle Patches anzuwenden und den Empfehlungen des Lieferanten zu folgen. Für Workspace One WMU gibt es technische Dokumentationen und Sicherheitshinweise, die vom Hersteller und von Forschern veröffentlicht wurden, die Betriebstechniken demonstrierten; Minderungshinweise beinhalten oft Aktualisierungen auf geparde Versionen und Überprüfungskonfigurationen, die externe Managementschnittstellen nicht aussetzen sollten. Im Fall von SolarWinds Web Help Desk, angesichts der hohen CVSS und der Bestätigung des aktiven Betriebs, ist schnelles Handeln besonders kritisch. Und für Ivanti, neben der Überwachung des offiziellen Newsletters, ist es angebracht, den Zugang zum Dienst von unzuverlässigen Netzwerken zu beschränken und die Nutzung der gespeicherten Anmeldeinformationen zu überprüfen.
Über das Patching hinaus müssen die Organisationen die kompensatorischen Kontrollen stärken: die Netzsegmentierung, um die Fähigkeit eines engagierten Dienstes zu begrenzen, sich auf andere Vermögenswerte, Aufzeichnungen und Telemetrie zu verschwenken, die es erlauben, ungewöhnliche Verhaltensweisen im Zusammenhang mit SSRF oder Remote-Ausführung zu erkennen, und Antwortpläne, die exponierte Vermögenswerte priorisieren. Die akkumulierte Erfahrung zeigt, dass der Angreifer bei vielen anfänglichen Intrusionen einen einzigen öffentlichen Ausfall nutzt, um Rücktüren zu installieren oder sich seitlich zu bewegen; um diesen Fluss zu unterbrechen, verringert der mögliche Schaden.
Wenn Sie die primären Quellen zu diesen Einträgen und der CISA-Bewertung konsultieren möchten, können Sie die eigene Warnung der Agentur bei Ihre Website, der KEV-Katalog Diese Seite und die relevanten CVE-Chips: CVE-2021-22054, CVE-2025-26399 und CVE-2026-1603. Um die technische Forschung zu SSRF in Workspace One WMU zu vertiefen, die Arbeit Vermögenswerte ist eine empfohlene Lesung, und die Hinweise des Lieferanten auf Patches und Minderungen sind auf ihren jeweiligen Kanälen verfügbar.
Die Schlussfolgerung für jeden Sicherheitsbeauftragten ist einfach und unbequem: Wenn eine Schwachstelle im KEV erscheint, ist es keine theoretische Angelegenheit. Es erfordert die Priorisierung von Patches, die Überprüfung freier Zugriffe und die Vorbereitung auf die Erkennung. Die Bedrohung bewegt sich schnell und, wenn nicht mit der gleichen Geschwindigkeit reagiert, können die Auswirkungen schwer sein.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...