Eine CVSS 10.0 Authentifizierungsumgehung in Cisco Catalyst SD-WAN wird seit 2023 aktiv ausgenutzt. CarGurus bestätigt Kompromittierung von 12,4 Millionen Nutzern durch ShinyHunters. Eine Cybercrime-Supergruppe zahlt Frauen 1.000 $ pro Anruf für Social Engineering gegen IT-Helpdesks. Dazu: SolarWinds patcht vier kritische Serv-U RCE-Schwachstellen und ein Rüstungsunternehmer erhält 87 Monate Haft für den Verkauf von Exploits an Russland.
Cisco hat eine Schwachstelle mit maximalem Schweregrad zur Authentifizierungsumgehung im Cisco Catalyst SD-WAN Controller (ehemals vSmart) und SD-WAN Manager (ehemals vManage) offengelegt. Die Sicherheitslücke ermöglicht es entfernten, nicht authentifizierten Angreifern, sich als hochprivilegierter interner Benutzer anzumelden und die gesamte SD-WAN-Infrastruktur über NETCONF zu manipulieren.
Die Schwachstelle liegt in einem fehlerhaften Peering-Authentifizierungsmechanismus. Angreifer nutzen sie aus, um nicht autorisierte Peers in die SD-WAN-Umgebung einzuschleusen — effektiv werden bösartige Geräte injiziert, die legitim erscheinen und den Datenverkehr über vom Angreifer kontrollierte Infrastruktur leiten können.
Cisco Talos verfolgt die Aktivität unter dem Namen UAT-8616 und schreibt sie mit hoher Zuversicht einem hochentwickelten Bedrohungsakteur zu. Telemetriedaten zeigen, dass die Ausnutzung mindestens bis 2023 zurückreicht. Der Akteur eskalierte zu Root-Rechten, indem er die Firmware herunterstufte, um eine ältere Schwachstelle (CVE-2022-20775) auszunutzen, und anschließend die ursprüngliche Version wiederherstellte, um der Erkennung zu entgehen.
Die Offenlegung erfolgte koordiniert zwischen Cisco, dem Australian Cyber Security Centre (ASD's ACSC), CISA (Emergency Directive 26-03) und britischen Behörden.
Der Automobil-Marktplatz CarGurus hat ein Datenleck bestätigt, von dem über 12,4 Millionen Nutzer betroffen sind. Die Gruppe ShinyHunters bekannte sich zur Tat und gab an, personenbezogene Daten sowie interne Unternehmensdaten exfiltriert zu haben.
Dies folgt auf den Angriff von ShinyHunters auf Wynn Resorts, bei dem Mitarbeiterdaten gestohlen wurden — wobei der Eintrag nach offensichtlichen Verhandlungen später von der Leak-Seite entfernt wurde.
Auswirkungen: Wenn Sie oder Ihre Mitarbeiter CarGurus genutzt haben, achten Sie auf Phishing-Kampagnen, die die gestohlenen Daten ausnutzen. Credential-Stuffing-Angriffe sind innerhalb weniger Tage zu erwarten.
Die Cybercrime-Supergruppe Scattered LAPSUS$ Hunters (SLH) — ein Zusammenschluss aus LAPSUS$, Scattered Spider und ShinyHunters — rekrutiert aktiv Frauen für Voice-Phishing-Angriffe (Vishing) gegen IT-Helpdesks.
Laut der Threat-Intelligence von Dataminr bietet SLH 500–1.000 $ pro Anruf plus vorgefertigte Skripte. Die Strategie: Weibliche Stimmen könnten höhere Erfolgsquoten erzielen, wenn sie sich als Mitarbeiterinnen ausgeben, die beim Helpdesk Passwort-Resets oder MFA-Umgehungen anfordern.
SLH hat eine dokumentierte Vorgeschichte mit MFA-Prompt-Bombing, SIM-Swapping und Helpdesk-Social-Engineering. Diese Rekrutierungskampagne signalisiert eine Industrialisierung des Social Engineering — der Übergang von opportunistischen Angriffen zu bezahlten, organisierten Callcenter-Operationen.
SolarWinds hat vier kritische Schwachstellen in der Serv-U-Dateiübertragungssoftware gepatcht, die Remote Code Execution ermöglichen. Obwohl die Schwachstellen administrative Rechte erfordern, ist Serv-U ein historisch häufig angegriffenes Produkt (erinnern Sie sich an den Supply-Chain-Angriff von 2021).
Dateiübertragungs-Appliances bleiben der häufigste initiale Angriffsvektor für Ransomware-Gruppen. MOVEit, GoAnywhere, Citrix ShareFile — und jetzt erneut Serv-U. Wenn Sie Serv-U einsetzen, patchen Sie, bevor unweigerlich Exploit-Code veröffentlicht wird.
Googles Threat Intelligence Group (GTIG), Mandiant und internationale Partner haben eine globale Spionagekampagne unterbunden, die dem chinesischen Bedrohungsakteur UNC2814 zugeschrieben wird. Die Gruppe ist mindestens seit 2017 aktiv und hat Organisationen in 42 Ländern ins Visier genommen.
Die Angreifer nutzten legitime SaaS-API-Aufrufe, um bösartigen Datenverkehr zu tarnen, was die Erkennung außerordentlich erschwerte. Zu den Zielen gehörten Telekommunikationsanbieter und Regierungsbehörden — klassische Ziele der Nachrichtengewinnung.
Der ehemalige US-Rüstungsunternehmer Peter Williams wurde zu 87 Monaten Bundesgefängnis verurteilt, weil er Cyber-Exploits an einen russischen Vermittler verkauft hatte. Der Fall unterstreicht das anhaltende Risiko von Insider-Bedrohungen in der Verteidigungs-Lieferkette.
Diese Woche wurden zwei separate Supply-Chain-Kampagnen entdeckt:
Entwicklerteams: Überprüfen Sie Ihre NuGet-Abhängigkeiten und seien Sie misstrauisch gegenüber Repositories, die aus unaufgeforderten Bewerbungsgesprächen verlinkt werden.
Der amerikanische Medizintechnik-Hersteller UFP Technologies hat einen Cyberangriff mit bestätigtem Datendiebstahl und dateiverschlüsselnder Malware offengelegt. Der Gesundheitssektor wird weiterhin überproportional angegriffen — Angreifer wissen, dass Patientendaten hohe Lösegeldforderungen ermöglichen und regulatorischer Druck schnelle Zahlungen erzwingt.
✅ Cisco SD-WAN Erkennung — Scannen auf CVE-2026-20127 und verwundbare Konfigurationen
✅ Supply-Chain-Überwachung — Tracking bösartiger Pakete über NuGet, npm, PyPI
✅ KI-gestützte Behebung — Patches statt nur Warnungen. Automatisch generierte PRs für Ihre Codebasis.
✅ NIS2-Compliance — Deutschsprachige Berichte für regulatorische Anforderungen
Über 332.000 CVEs indexiert. KI-generierte Patches. GitHub-PR-Automatisierung.
Kostenlos testenBleiben Sie sicher. Bleiben Sie wachsam.
🗡️ KENSAI Security Team
Get a free security scan of your website in 60 seconds
Free Security Scan →