CISA markiert fünf aktiv ausgenutzte Schwachstellen in neuester KEV-Aktualisierung

CISA erweitert KEV-Katalog um fünf aktiv ausgenutzte Schwachstellen

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat fünf neue Schwachstellen in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Als Grund nennt die Behörde Belege für aktive Ausnutzung in der Praxis. Die Aktualisierung vom 26. Januar 2026 verpflichtet Bundesbehörden, diese Sicherheitslücken bis zum 16. Februar 2026 gemäß der Binding Operational Directive (BOD) 22-01 zu beheben.

Technische Details der hinzugefügten CVEs

Die neu aufgelisteten Schwachstellen umfassen:

1. CVE-2024-21887 (Ivanti Connect Secure und Policy Secure)

   • Typ: Command-Injection-Schwachstelle
   • Schweregrad: Kritisch (CVSS 9.1)
   • Auswirkung: Ermöglicht nicht authentifizierten Angreifern die Ausführung beliebiger Befehle auf verwundbaren Systemen durch manipulierte Anfragen.

2. CVE-2023-46805 (Ivanti Connect Secure und Policy Secure)

   • Typ: Umgehung der Authentifizierung (Authentication Bypass)
   • Schweregrad: Hoch (CVSS 8.2)
   • Auswirkung: Ermöglicht Angreifern die Umgehung von Authentifizierungsmechanismen und den unbefugten Zugriff auf geschützte Ressourcen.

3. CVE-2023-22527 (Atlassian Confluence Data Center und Server)

   • Typ: Remote Code Execution (RCE)
   • Schweregrad: Kritisch (CVSS 10.0)
   • Auswirkung: Nutzt eine Template-Injection-Schwachstelle aus, die nicht authentifizierten Angreifern die Ausführung beliebigen Codes auf verwundbaren Confluence-Instanzen ermöglicht.

4. CVE-2024-0204 (Fortra GoAnywhere MFT)

   • Typ: Umgehung der Authentifizierung (Authentication Bypass)
   • Schweregrad: Kritisch (CVSS 9.8)
   • Auswirkung: Ermöglicht Angreifern die Erstellung von Admin-Benutzern und die vollständige Übernahme betroffener Systeme.

5. CVE-2023-27532 (Apache Superset)

   • Typ: Unsichere Standardkonfiguration
   • Schweregrad: Hoch (CVSS 8.9)
   • Auswirkung: Ermöglicht nicht autorisierten Angreifern die Authentifizierung und den Zugriff auf sensible Daten aufgrund eines standardmäßigen SECRET_KEY in Superset-Installationen.

Risikoanalyse

Diese Schwachstellen stellen ein erhebliches Risiko für Organisationen dar, insbesondere für solche, die Ivanti, Atlassian Confluence, Fortra GoAnywhere oder Apache Superset einsetzen. Es wurden aktive Ausnutzungen beobachtet, wobei Cyberkriminelle diese Sicherheitslücken nutzen, um:

• Unbefugten Zugriff auf Unternehmensnetzwerke zu erlangen,
• Ransomware oder andere Schadsoftware einzusetzen,
• Sensible Daten zu exfiltrieren,
• Persistenz für weitere Angriffe herzustellen.

Bundesbehörden sind verpflichtet, diese Schwachstellen bis zum Stichtag 16. Februar zu patchen. Die CISA empfiehlt jedoch allen Organisationen – sowohl öffentlichen als auch privaten – dringend, die Behebung dieser Lücken zu priorisieren, um potenzielle Sicherheitsvorfälle zu verhindern.

Empfehlungen für Sicherheitsteams

1. Sofortiges Patchen: Wenden Sie vom Hersteller bereitgestellte Patches oder Abhilfemaßnahmen unverzüglich an.
2. Netzwerksegmentierung: Isolieren Sie verwundbare Systeme, um laterale Bewegungen im Falle einer Ausnutzung einzuschränken.
3. Überwachung und Erkennung: Setzen Sie Intrusion Detection/Prevention Systems (IDS/IPS) ein, um Versuche der Ausnutzung zu identifizieren.
4. Sensibilisierung der Nutzer: Schulen Sie Mitarbeiter, um Phishing- oder Social-Engineering-Angriffe zu erkennen, die einer Ausnutzung vorausgehen könnten.
5. Regelmäßige KEV-Katalog-Prüfung: Überprüfen Sie den KEV-Katalog der CISA regelmäßig auf Aktualisierungen und priorisieren Sie die Behebung der aufgelisteten Schwachstellen.

Weitere Details finden Sie in der offiziellen CISA-Warnmeldung.