CISA warnt vor vier kritischen Lücken – und verschweigt Ransomware-Gefahr

Die US-Cybersicherheitsbehörde CISA drängt dringend zur Installation von Sicherheitsupdates für vier neue Schwachstellen. Gleichzeitig deckt eine Untersuchung auf: Die Behörde aktualisiert ihr öffentliches Gefahrenverzeichnis stillschweigend mit Ransomware-Informationen. Das gefährdet die Abwehr von Cyberangriffen.

Washington D.C. – Die US-Behörde für Cybersicherheit (CISA) hat diese Woche die sofortige Behebung von vier neuen Schwachstellen angeordnet. Parallel zeigt eine neue Studie eine gefährliche Praxis auf: CISA aktualisiert ihr öffentliches Verzeichnis bekannter Schwachstellen (KEV-Katalog) stillschweigend mit kritischen Ransomware-Erkenntnissen. Diese „stillen Updates“ könnten Unternehmen weltweit in falscher Sicherheit wiegen, da sie die tatsächliche Bedrohungslage nicht erkennen.

Am 3. Februar 2026 nahm CISA vier Schwachstellen in ihren Katalog auf, nachdem Beweise für aktive Angriffe vorlagen. Betroffen sind Produkte von SolarWinds, Sangoma und GitLab – beliebte Ziele für Cyberkriminelle. Zeitgleich veröffentlichte ein Sicherheitsbericht eine brisante Enthüllung: Im gesamten Jahr 2025 änderte CISA den Ransomware-Status von 59 bereits gelisteten Schwachstellen, ohne dies öffentlich bekanntzugeben. Forscher nennen dies „Silent Flips“.

Die jüngsten „Silent Flips“ und die aktive Ausnutzung von CVEs zeigen, wie schnell sich die Ransomware‑Lage ändern kann – und wie leicht wichtige Warnsignale übersehen werden. Der kostenlose Report „Cyber Security Awareness Trends“ erklärt praxisnahe Schutzmaßnahmen, Priorisierungs‑Regeln für Patches und konkrete Schritte, mit denen IT‑Teams (auch ohne großes Budget) Netzwerke und Peripherie härten. Mit Checklisten für Notfall‑Response und sofort umsetzbaren Maßnahmen für KMU und Behörden. Jetzt kostenlosen Cyber-Security-Report anfordern

Dringende Patches für vier hochriskante Lücken gefordert

CISA hat alle US-Bundesbehörden angewiesen, vier spezifische Schwachstellen umgehend zu schließen. Die Richtlinie ist für Behörden bindend, doch CISA drängt auch alle privaten Unternehmen zur Eile. Die Gefahr ist akut.

Die neu gelisteten Schwachstellen sind:
* CVE-2025-40551: Eine kritische Lücke in SolarWinds Web Help Desk. Unbefugte Angreifer können dadurch beliebigen Code ausführen (Remote Code Execution). Die Aufnahme in den Katalog bedeutet: Diese Lücke wird bereits aktiv ausgenutzt.
* CVE-2019-19006: Eine Schwachstelle in Sangoma FreePBX, die es Angreifern erlaubt, die Passwort-Authentifizierung zu umgehen.
* CVE-2025-64328: Eine Befehlseinschleusung (Command Injection) in derselben Sangoma-Software.
* CVE-2021-39935: Eine Server-Seitige-Anfragen-Fälschung (SSRF) in GitLab Community und Enterprise Edition.

Das Gemisch aus brandneuen und älteren, aber weit verbreiteten Lücken zeigt: Angreifer nutzen jedes verfügbare Werkzeug für ihre Zwecke. Für Bundesbehörden endete die Frist zur Behebung der SolarWinds-Lücke bereits am 6. Februar 2026 – ein Zeichen für die höchste Dringlichkeit.

„Stille Updates“ offenbaren Kommunikationslücke bei Ransomware

Ein Bericht des Sicherheitsforschers Glenn Thorpe von GreyNoise deckt ein großes Problem auf. CISA änderte im Jahr 2025 bei 59 Schwachstellen das Feld knownRansomwareCampaignUse von „Unbekannt“ auf „Bekannt“ – ohne Warnung.

Diese Information ist entscheidend. Sie bedeutet, dass Ransomware-Gruppen die Schwachstelle aktiv nutzen. Für IT-Verteidiger sollte dies die Prioritäten bei Patches komplett verändern. Die Analyse zeigt: 27 Prozent der „still“ aktualisierten Lücken betrafen Microsoft-Produkte. 34 Prozent fanden sich in Netzwerk- und Edge-Geräten von Herstellern wie Fortinet, Ivanti und Palo Alto Networks. Das bestätigt: Ransomware-Banden zielen systematisch auf die Netzwerk-Peripherie ab. Am häufigsten wurden Authentifizierungs-Umgehungen und Remote-Code-Ausführungen nachträglich als Ransomware-Werkzeuge gekennzeichnet.

Ransomware-Banden nutzen neue und alte Lücken

Die Daten zeigen große Unterschiede. Manchmal nutzen Ransomware-Gruppen eine Schwachstelle bereits einen Tag nach ihrer Aufnahme in den KEV-Katalog. In anderen Fällen dauerte es über 1.350 Tage. Die Botschaft ist klar: Angreifer verwenden sowohl frische Zero-Day-Lücken als auch alte, in vielen Systemen nie geschlossene Sicherheitslöcher.

Die Lage wird zusätzlich komplex: CISA bestätigte kürzlich, dass eine Sandbox-Escape-Schwachstelle in VMware ESXi (CVE-2025-22225) nun von Ransomware-Gruppen ausgenutzt wird. Diese bereits im März 2025 gepatchte Lücke ermöglicht Angreifern, Code auf dem Kernel auszuführen – eine extreme Gefahr für virtualisierte Umgebungen.

Appell an CISA: Mehr Transparenz ist nötig

Der KEV-Katalog ist ein wichtiges Werkzeug, um knappe IT-Ressourcen auf die größten Gefahren zu fokussieren. Die stillen Updates untergraben jedoch sein Vertrauen. Die Risikobewertung einer Schwachstelle ist nicht statisch. Wird sie zum Werkzeug von Erpressungstrojanern, steigt ihr Schadpotenzial sprunghaft.

Die Forschung zu den „Silent Flips“ hat Reaktionen bei CISA ausgelöst. Ein Behördenvertreter signalisierte, man prüfe das Feedback der Sicherheits-Community. Experten fordern einfache Lösungen: Ein öffentliches Änderungsprotokoll oder ein RSS-Feed für Katalog-Updates würden Verteidigern die nötigen Informationen liefern, um ihre Risikolage realistisch einzuschätzen.

Die gleichzeitige Warnung vor neuen Lücken und die Enthüllung intransparenter Updates sind ein Weckruf. Die Bedrohungslage ist dynamisch, die Abwehr muss es auch sein. Unternehmen sollten nicht nur auf neue Einträge im KEV-Katalog reagieren, sondern regelmäßig alle bestehenden Einträge auf Änderungen überprüfen – insbesondere das Ransomware-Flag. Denn die Zeitfenster für wirksame Gegenmaßnahmen schrumpfen.

PS: Wer auf CISA‑Warnungen reagieren muss, sollte nicht nur Patches einspielen, sondern auch Mitarbeitende schulen und Perimeter‑Sicherheit verbessern. Das Gratis‑E‑Book liefert eine kompakte 4‑Schritte‑Anleitung zur Hacker‑Abwehr, Anti‑Phishing‑Prävention und Priorisierung von KEV‑Änderungen – praxisnah und ohne teure Neuanschaffungen. Holen Sie sich Checklisten und Sofort‑Maßnahmen, die Ihre Abwehr sofort stärken. Gratis-Leitfaden zur Hacker-Abwehr herunterladen