Die US-Behörde für Cyber- und Infrastruktursicherheit (CISA) hat ihren Known Exploited Vulnerabilities (KEV)-Katalog um acht weitere Sicherheitslücken ergänzt, für die eine nachweisliche Ausnutzung in realen Angriffen vorliegt. Besonders kritisch sind drei Schwachstellen im Cisco Catalyst SD-WAN Manager, die zentrale Netzwerk-Infrastrukturen großer Unternehmen und Service Provider betreffen.
Rolle des CISA-KEV-Katalogs für Priorisierung im Schwachstellenmanagement
Der CISA KEV-Katalog listet ausschließlich Schwachstellen, die bereits aktiv von Angreifern missbraucht werden. Damit unterscheidet er sich von üblichen CVE-Listen, in denen auch rein theoretische Risiken auftauchen. Eine Aufnahme in KEV ist ein deutlicher Hinweis, dass unmittelbarer Handlungsbedarf besteht und Patches höchste Priorität im Patch-Management erhalten sollten.
Im aktuellen Update führt CISA acht Schwachstellen auf, darunter:
- drei Lücken in Cisco Catalyst SD-WAN Manager (CVE-2026-20122, CVE-2026-20128, CVE-2026-20133),
- eine weitere Schwachstelle in JetBrains TeamCity für On-Premises-Installationen, zusätzlich zu CVE-2024-27198,
- CVE-2023-27351 in einem weit verbreiteten Enterprise-Druckprodukt, genutzt von der Gruppe Lace Tempest,
- CVE-2025-32975 in SMA (Secure Mobile Access)-VPN-Gateways.
Kritische Schwachstellen im Cisco Catalyst SD-WAN Manager
Der Cisco Catalyst SD-WAN Manager ist die zentrale Steuerungsebene für verteilte SD-WAN-Infrastrukturen. Über diese Plattform werden Standorte, Produktionswerke, Rechenzentren und Cloud-Ressourcen vernetzt. Eine Kompromittierung erlaubt Angreifern potenziell, Traffic umzuleiten, Routing-Regeln zu manipulieren oder sich lateral im Netzwerk auszubreiten.
Cisco hat bestätigt, dass CVE-2026-20122 und CVE-2026-20128 bereits seit März 2026 aktiv ausgenutzt werden. Obwohl CISA auch CVE-2026-20133 in den KEV-Katalog aufgenommen hat, spiegelt sich diese Information nach aktuellem Stand noch nicht vollständig in allen Cisco-Hinweisen wider – ein Umstand, der zeigt, wie dynamisch sich die Bedrohungslage entwickelt.
US-Bundesbehörden der Kategorie FCEB sind verpflichtet, die drei Cisco-Schwachstellen bis 23. April 2026 zu schließen. Für Unternehmen weltweit ist diese Deadline ein de-facto-Benchmark: Organisationen mit Cisco-SD-WAN sollten ihre Umgebungen sofort inventarisieren und verfügbare Updates priorisiert einspielen.
JetBrains TeamCity: Angriffsfläche für Supply-Chain-Attacken
Mit der neu aufgenommenen Schwachstelle in JetBrains TeamCity rückt erneut die Gefahr von Angriffen auf CI/CD-Server in den Fokus. Diese Systeme automatisieren Builds, Tests und Deployments – und haben damit Zugriff auf Quellcode, Zugangsdaten und Deploymentschlüssel. Eine Kompromittierung kann direkt zu Supply-Chain-Angriffen führen, bei denen Angreifer Schadcode in legitime Softwareupdates einschleusen.
Ob die neue TeamCity-Schwachstelle gemeinsam mit der bereits 2024 aufgenommenen CVE-2024-27198 in koordinierten Kampagnen genutzt wird, ist derzeit nicht öffentlich bekannt. Aus Sicht des Risikomanagements ist jedoch klar: ungepatchte CI/CD-Systeme stellen einen hochkritischen Angriffsvektor dar, der häufig direkt in sensibelste Unternehmensbereiche führt.
CVE-2023-27351: Ransomware-Gruppen nutzen Enterprise-Drucklösung
Die Schwachstelle CVE-2023-27351 in einem populären Enterprise-Druckprodukt wird nach Analysen von Sicherheitsforschern von der Gruppe Lace Tempest ausgenutzt. Diese ist unter anderem mit den Ransomware-Familien Cl0p und LockBit in Verbindung gebracht worden. Das Muster ist typisch: Eine breit eingesetzte Business-Lösung wird zum Einstiegspunkt für groß angelegte Ransomware-Kampagnen.
Sobald Exploits für derartige Lücken in öffentlich verfügbaren Frameworks erscheinen, sinkt die Einstiegshürde für Angreifer drastisch. Organisationen, die Updates verzögern, sehen sich dann einem deutlich erhöhten Risiko von Erpressungsangriffen und Datenverschlüsselung gegenüber.
CVE-2025-32975: Angriffe auf SMA-Secure-Mobile-Access-Gateways
Die Schwachstelle CVE-2025-32975 betrifft SMA-Gateways, die als zentrale Komponente für sicheren Remote-Zugriff von Mitarbeitenden und Dienstleistern dienen. Laut Berichten von Arctic Wolf wird diese Lücke seit Wochen gezielt gegen nicht aktualisierte Installationen eingesetzt, auch wenn die finale Zielsetzung der Kampagnen noch unklar ist.
VPN- und Remote-Access-Infrastrukturen zählen traditionell zu den wertvollsten Zielen für Angreifer. Wer ein Remote-Gateway kompromittiert, kann Perimeterschutzmaßnahmen umgehen und sich mit legitimen Berechtigungen in interne Netze bewegen. In vielen Vorfällen der letzten Jahre bildeten verwundbare VPN-Appliances den Ausgangspunkt für umfangreiche Datendiebstähle und Ransomware-Ausbrüche.
Konkrete Maßnahmen: So reagieren Organisationen auf neue KEV-Einträge
Die Aufnahme einer Schwachstelle in den CISA-KEV-Katalog sollte als sofortiger Handlungsaufruf verstanden werden. Neben den verbindlichen US-Deadlines (23. April 2026 für die Cisco-Lücken, 4. Mai 2026 für die übrigen Einträge) empfiehlt es sich für Unternehmen weltweit, vergleichbare Zeitpläne anzusetzen oder diese zu unterbieten.
- Inventarisierung: Vollständige Erfassung aller Cisco-SD-WAN-Instanzen, JetBrains-TeamCity-Server, betroffenen Drucklösungen und SMA-Gateways inklusive Versionen.
- Sofortiges Patchen: Einspielen der von Herstellern bereitgestellten Patches und Firmware-Updates; falls nicht möglich, Einsatz von Virtual Patching und restriktiven Netzwerkzugriffen.
- Erweitertes Monitoring: Verstärkte Protokollauswertung und Netzwerküberwachung rund um die genannten Systeme, inklusive Suche nach bekannten IoCs und Anomalien.
- Netzwerksegmentierung: Trennung kritischer Management-, SD-WAN- und VPN-Systeme von produktiven Kernsystemen, um Angriffsfolgen zu begrenzen.
- Laufendes Schwachstellenmanagement: Regelmäßige Prüfung des KEV-Katalogs, automatisierte Korrelation mit eigenen Assets und definierte Notfallprozesse für aktiv ausgenutzte Lücken.
Die aktuelle Erweiterung des CISA-KEV-Katalogs macht deutlich, dass Angreifer gezielt Netzwerksteuerung, Remote-Zugriff und DevOps-Werkzeuge ins Visier nehmen. Organisationen, die ihre Angriffsfläche nachhaltig reduzieren wollen, sollten KEV konsequent in ihr Schwachstellenmanagement integrieren, kritische Systeme neu priorisieren und Reaktionszeiten für aktiv ausgenutzte Lücken drastisch verkürzen. Wer jetzt in Transparenz, schnelle Patches und robuste Sicherheitsarchitekturen investiert, stärkt messbar seine Cyber-Resilienz und reduziert das Risiko schwerer Sicherheitsvorfälle.
