ZURÜCK ZU NACHRICHTEN
CERT-Hinweise

CISA warnt vor vier aktiv ausgenutzten Schwachstellen in neuem KEV-Update

2 Min. LesezeitQuelle: CISA Cybersecurity Advisories

CISA hat vier kritische Schwachstellen mit aktiver Ausnutzung in den KEV-Katalog aufgenommen. Bundesbehörden müssen bis zum 12. Februar 2026 handeln.

CISA erweitert KEV-Katalog um vier aktiv ausgenutzte Schwachstellen

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat vier neue Schwachstellen in ihren Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen. Als Grund nannte die Behörde Belege für aktive Ausnutzung in der Praxis. Das am 22. Januar 2026 veröffentlichte Update verpflichtet Bundesbehörden der Federal Civilian Executive Branch (FCEB), diese Sicherheitslücken bis zum 12. Februar 2026 gemäß der Binding Operational Directive (BOD) 22-01 zu beheben.

Technische Details der Schwachstellen

Die neu hinzugefügten Schwachstellen umfassen:

  1. CVE-2023-46805 (CVSS: 9,8) – Authentication Bypass in Ivanti Connect Secure und Policy Secure Gateways, der unbefugten Zugriff auf eingeschränkte Ressourcen ermöglicht.
  2. CVE-2024-21887 (CVSS: 9,1) – Command Injection-Schwachstelle in Ivanti Connect Secure und Policy Secure, die authentifizierten Administratoren die Ausführung beliebiger Befehle erlaubt.
  3. CVE-2024-23897 (CVSS: 9,8) – Arbitrary File Read-Schwachstelle in Jenkins, die Angreifern den Zugriff auf sensible Dateien über die integrierte Kommandozeilenschnittstelle (CLI) ermöglicht.
  4. CVE-2024-27198 (CVSS: 9,8) – Authentication Bypass in JetBrains TeamCity, der unauthentifizierten Angreifern die Übernahme administrativer Kontrolle über betroffene Server ermöglicht.

Diese Schwachstellen betreffen weit verbreitete Unternehmens- und Entwicklungstools und stellen ein erhebliches Risiko für Organisationen dar, wenn sie nicht behoben werden.

Auswirkungsanalyse

  • CVE-2023-46805 & CVE-2024-21887: Die Ausnutzung dieser Ivanti-Schwachstellen wurde mit gezielten Angriffen in Verbindung gebracht, darunter auch solche durch Advanced Persistent Threat (APT)-Gruppen. Erfolgreiche Ausnutzung könnte zu lateraler Bewegung im Netzwerk, Datenexfiltration oder der Verbreitung zusätzlicher Schadsoftware führen.
  • CVE-2024-23897: Angreifer, die diese Jenkins-Schwachstelle ausnutzen, könnten Anmeldedaten, API-Schlüssel oder andere sensible Daten extrahieren und so weitere Kompromittierungen ermöglichen.
  • CVE-2024-27198: Die TeamCity-Schwachstelle wurde bereits zur Verbreitung von Ransomware und Kryptowährungs-Minern ausgenutzt. Es gibt Berichte über großflächiges Scannen nach verwundbaren Instanzen.

Empfohlene Maßnahmen

Die CISA fordert alle Organisationen – insbesondere Bundesbehörden – auf, die Behebung dieser Schwachstellen prioritär zu behandeln. Wichtige Schritte umfassen:

  • Sofortige Patch-Installation: Unverzügliche Anwendung der vom Hersteller bereitgestellten Updates für Ivanti-, Jenkins- und JetBrains-Produkte.
  • Netzwerksegmentierung: Isolierung verwundbarer Systeme, um laterale Bewegungen einzuschränken.
  • Überwachung auf Ausnutzung: Einsatz von Intrusion Detection/Prevention Systems (IDS/IPS), um Anzeichen einer Kompromittierung zu erkennen.
  • Incident Response: Organisationen sollten Protokolle auf Indikatoren für Ausnutzung überprüfen und sich auf mögliche Incident-Response-Maßnahmen vorbereiten.

Für Bundesbehörden ist die Einhaltung der BOD 22-01 verpflichtend. Privatwirtschaftliche Organisationen werden dringend aufgefordert, den Empfehlungen der CISA zu folgen, um Risiken zu minimieren.

Weitere Details finden Sie in der offiziellen CISA-Warnmeldung.

Teilen

TwitterLinkedIn