Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat eine dringende Warnung bezüglich vier Sicherheitslücken in weit verbreiteter Unternehmenssoftware herausgegeben. Die Schwachstellen werden bereits aktiv von Angreifern ausgenutzt und betreffen Produkte von Versa Networks, Zimbra sowie die Entwicklerwerkzeuge Vite und Prettier. US-Bundesbehörden wurden angewiesen, bis zum 12. Februar 2026 entsprechende Sicherheitsmaßnahmen zu ergreifen.
Die Aufnahme in den Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) signalisiert, dass konkrete Beweise für laufende Cyberangriffe vorliegen. Dies erhöht den Handlungsdruck für Unternehmen weltweit, ihre Systeme umgehend zu überprüfen und zu aktualisieren, um potenzielle Sicherheitsvorfälle zu vermeiden.
Das Wichtigste in Kürze
- Die CISA hat vier neue Sicherheitslücken in ihren KEV-Katalog aufgenommen, was auf aktive Ausnutzung hindeutet.
- Betroffen sind Softwarelösungen von Versa, Zimbra sowie die Entwickler-Tools Vite und Prettier.
- Eine der Lücken ermöglicht die Umgehung der Authentifizierung, eine andere resultiert aus einem Lieferkettenangriff.
- US-Bundesbehörden müssen die Schwachstellen bis zum 12. Februar 2026 schließen.
CISA setzt Frist für Bundesbehörden
Die CISA hat die vier Schwachstellen offiziell in ihren KEV-Katalog aufgenommen. Dieser Katalog dient als wichtige Ressource für Organisationen, um ihre Prioritäten bei der Behebung von Sicherheitslücken zu setzen. Einträge im KEV-Katalog basieren auf nachgewiesenen aktiven Exploits, was bedeutet, dass diese Lücken nicht nur theoretische Risiken darstellen, sondern bereits für Angriffe genutzt werden.
Im Rahmen der verbindlichen operativen Anweisung (BOD 22-01) sind alle zivilen Bundesbehörden in den USA verpflichtet, die von der CISA identifizierten Schwachstellen innerhalb einer festgelegten Frist zu beheben. Für die vier neu hinzugefügten Lücken wurde der 12. Februar 2026 als Stichtag festgelegt. Bis dahin müssen entweder die vom Hersteller bereitgestellten Sicherheitsupdates eingespielt oder alternative, vom Hersteller empfohlene Maßnahmen umgesetzt werden.
Was ist der KEV-Katalog?
Der KEV-Katalog (Known Exploited Vulnerabilities) ist eine von der CISA geführte Liste von Sicherheitslücken, für die es bestätigte Beweise für eine aktive Ausnutzung durch Cyberkriminelle gibt. Er hilft Unternehmen und Behörden, sich auf die dringendsten Bedrohungen zu konzentrieren, anstatt zu versuchen, jede einzelne gemeldete Schwachstelle zu beheben. Die Aufnahme einer Lücke in diesen Katalog ist ein klares Signal für sofortigen Handlungsbedarf.
Vier kritische Schwachstellen im Detail
Die vier identifizierten Schwachstellen betreffen unterschiedliche Softwareprodukte und weisen verschiedene Angriffsvektoren auf. Sie reichen von Konfigurationsfehlern bis hin zu gezielten Lieferkettenangriffen.
Authentisierungs-Bypass in Versa Concerto
Eine der kritischsten Lücken, identifiziert als CVE-2025-34026, betrifft die SD-WAN-Orchestrierungsplattform Versa Concerto. Die Schwachstelle wird als kritisch eingestuft und ermöglicht eine Umgehung der Authentifizierung. Ursache ist eine Fehlkonfiguration des Traefik Reverse Proxy, die Angreifern den Zugriff auf administrative Endpunkte erlaubt. Dadurch können sensible Informationen wie Heap Dumps und Trace-Protokolle offengelegt werden.
Betroffen sind die Versionen 12.1.2 bis 12.2.0, wobei auch andere Versionen anfällig sein könnten. Die Sicherheitsforscher von ProjectDiscovery meldeten das Problem bereits am 13. Februar 2025. Versa Networks bestätigte, dass die Lücke am 7. März 2025 geschlossen wurde.
Lieferkettenangriff auf JavaScript-Paket
Die Schwachstelle CVE-2025-54313 ist das Ergebnis eines Lieferkettenangriffs auf das beliebte JavaScript-Paket `eslint-config-prettier`. Dieses Werkzeug wird verwendet, um Konflikte zwischen dem Code-Linter ESLint und dem Code-Formatierer Prettier zu lösen. Im Juli des vergangenen Jahres gelang es Angreifern, mehrere populäre JavaScript-Bibliotheken zu kapern und manipulierte Versionen im npm-Paketmanager zu veröffentlichen.
Die kompromittierten Versionen von `eslint-config-prettier` (8.10.1, 9.1.1, 10.1.6 und 10.1.7) enthielten ein bösartiges Installationsskript. Dieses Skript stahl auf Windows-Systemen npm-Authentifizierungstoken, was den Angreifern weitreichenden Zugriff auf Entwicklerkonten ermöglichen konnte.
Dateizugriff in Zimbra Collaboration Suite
Eine weitere aktiv ausgenutzte Lücke ist CVE-2025-68645 in der Zimbra Collaboration Suite. Es handelt sich um eine „Local File Inclusion“-Schwachstelle in der Webmail Classic UI der Versionen 10.0 und 10.1. Ein nicht authentifizierter Angreifer kann den `/h/rest`-Endpunkt ausnutzen, um beliebige Dateien aus dem WebRoot-Verzeichnis des Servers einzubinden und auszulesen.
Diese Art von Schwachstelle kann genutzt werden, um Konfigurationsdateien, Quellcode oder andere sensible Daten zu stehlen, die auf dem Server gespeichert sind. Die Lücke wurde am 22. Dezember 2025 offengelegt.
Unsicherer Dateizugriff in Vite
Die vierte Schwachstelle, CVE-2025-31125, betrifft das Frontend-Tooling-Framework Vite. Es handelt sich um ein Problem mit der Zugriffskontrolle, das mit einem hohen Schweregrad bewertet wird. Ein Angreifer kann dadurch auf Dateien zugreifen, die nicht für den öffentlichen Zugriff vorgesehen sind. Dieses Risiko besteht jedoch nur, wenn der Entwicklungsserver explizit im Netzwerk exponiert wird.
Die Entwickler haben das Problem bereits behoben. Patches sind in den Versionen 6.2.4, 6.1.3, 6.0.13, 5.4.16 und 4.5.11 verfügbar.
Globale Auswirkungen und Handlungsempfehlungen
Obwohl die Anweisung der CISA direkt für US-Bundesbehörden gilt, dient sie als dringende Empfehlung für alle Unternehmen und Organisationen weltweit. Die Tatsache, dass diese Schwachstellen aktiv ausgenutzt werden, erhöht das Risiko für jeden, der die betroffene Software einsetzt. Über die genauen Angriffe oder die Identität der Akteure hat die CISA keine weiteren Details veröffentlicht.
Es wird allen Administratoren dringend geraten, ihre Systeme zu überprüfen und die vom Hersteller bereitgestellten Sicherheitsupdates unverzüglich zu installieren. Insbesondere bei Lieferkettenangriffen wie dem auf das `eslint-config-prettier`-Paket ist es wichtig, die Abhängigkeiten in Softwareprojekten sorgfältig zu prüfen und sicherzustellen, dass keine kompromittierten Versionen verwendet werden.
