Nord-Amerika
Cisco
Cisco hat Nutzer vor zwei Sicherheitslücken im Catalyst SD-WAN Manager (früher bekannt als SD-WAN vManage) gewarnt, die derzeit aktiv ausgenutzt werden.
Die offengelegten Schwachstellen sind:
- CVE-2026-20122 (CVSS-Score: 7,1) – Eine Sicherheitslücke, die das Überschreiben beliebiger Dateien ermöglicht und es einem authentifizierten Angreifer aus der Ferne erlauben könnte, beliebige Dateien auf dem lokalen Dateisystem zu überschreiben. Für eine erfolgreiche Ausnutzung sind gültige Lesezugriffsrechte mit API-Zugriff auf das betroffene System erforderlich.
- CVE-2026-20128 (CVSS-Score: 5,5) – Eine Sicherheitslücke im Zusammenhang mit der Offenlegung von Informationen, die es einem authentifizierten lokalen Angreifer ermöglichen könnte, Benutzerrechte für den Data Collection Agent (DCA) auf dem betroffenen System zu erlangen. Für eine erfolgreiche Ausnutzung sind gültige vManage-Anmeldedaten erforderlich.
Das Unternehmen machte keine Angaben zum Ausmaß der Angriffe oder zu den beteiligten Angreifern. Die Bekanntgabe erfolgte eine Woche, nachdem Cisco gemeldet hatte, dass eine kritische Schwachstelle im Cisco Catalyst SD-WAN Controller und Catalyst SD-WAN Manager, die unter der Nummer CVE-2026-20127 mit einem CVSS-Score von 10,0 erfasst wurde, von einem als UAT-8616 bekannten raffinierten Angreifer ausgenutzt wurde, um sich dauerhaften Zugriff auf hochwertige Organisationen zu verschaffen.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Da diese Schwachstellen bereits aktiv ausgenutzt werden, sollten Benutzer so schnell wie möglich auf eine korrigierte Softwareversion aktualisieren. Unternehmen sollten außerdem den Zugriff aus ungesicherten Netzwerken einschränken, Geräte hinter einer Firewall platzieren, den HTTP-Zugriff für das Catalyst SD-WAN Manager-Administratorportal deaktivieren und Dienste wie HTTP und FTP ausschalten, wenn sie nicht benötigt werden. Das Ändern der Standard-Administratorpasswörter und die genaue Überwachung der Systemprotokolle auf unerwarteten eingehenden oder ausgehenden Datenverkehr können ebenfalls dazu beitragen, verdächtige Aktivitäten frühzeitig zu erkennen.
Vereinigte Staaten
Tennessee Valley Electric Cooperative (TVEC)
Cyberkriminelle nehmen weiterhin kritische Infrastrukturen ins Visier. Die Ransomware-Gruppe Qilin behauptet, sie habe sich Zugang zur Tennessee Valley Electric Cooperative (TVEC), einer US-amerikanischen Elektrizitätsgenossenschaft, verschafft.
TVEC mit Sitz in Savannah, Tennessee, versorgt Kunden in den Countys Wayne und Hardin im Westen Tennessees mit Strom. Die Genossenschaft hat sich öffentlich nicht zu den Forderungen der Ransomware-Bande geäußert. Ausgehend von früheren Angriffen der Gruppe könnten die gestohlenen Daten jedoch Mitarbeiterinformationen, Kundendaten oder interne Organisationsdokumente umfassen.
Die Gruppe hat bereits im vergangenen Jahr andere US-amerikanische Elektrizitätsgenossenschaften ins Visier genommen, darunter die Karnes Electric Cooperative und die San Bernard Electric Cooperative.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Kritische Infrastruktureinrichtungen werden zunehmend zum Ziel von Cyberkriminellen und staatlichen Akteuren, die wichtige Dienste stören oder sensible Betriebsdaten stehlen wollen. Um ihre Abwehrmaßnahmen zu verstärken, sollten Unternehmen kritische Netzwerke segmentieren, verdächtige Aktivitäten kontinuierlich überwachen und ihre Backup- und Notfallwiederherstellungspläne regelmäßig testen, um die Betriebsstabilität aufrechtzuerhalten.
Nord-Amerika
Wikimedia-Stiftung
Die Wikimedia Foundation, die gemeinnützige Organisation, die Wikipedia betreibt, erlebte am 5. März einen schwerwiegenden Sicherheitsvorfall, bei dem ein sich selbst verbreitender JavaScript-Wurm im Spiel war.
Das Problem wurde bekannt, nachdem Nutzer eine Flut automatisierter Bearbeitungen bemerkt hatten, durch die versteckte Skripte eingefügt und zufällige Seiten mutwillig beschädigt wurden. Der Wurm veränderte Benutzerskripte und verunstaltete Meta-Wiki-Seiten. Laut dem Phabricator-Issue-Tracker von Wikimedia scheint der Angriff begonnen zu haben, als ein auf der russischen Wikipedia gehostetes bösartiges Skript ausgeführt wurde, das ein globales JavaScript-Skript auf Wikipedia mit bösartigem Code veränderte.
Das bösartige Skript, das erstmals im März 2024 hochgeladen wurde, steht Berichten zufolge in Verbindung mit Skripten, die bei früheren Angriffen auf Wiki-Projekte verwendet wurden.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Selbstverbreitende JavaScript-Würmer sind besonders gefährlich, da sie das Vertrauen in Open-Source-Code ausnutzen und sich automatisch in Entwicklerumgebungen verbreiten können. Unternehmen sollten Abhängigkeiten von Drittanbietern streng kontrollieren, Integritätsprüfungen von Paketen durchführen und Repositorys auf ungewöhnliche Änderungen überwachen, um die Verbreitung von bösartigem Code über die Software-Lieferkette zu verhindern.
Vereinigte Staaten
AkzoNobel
Der niederländische Farbenhersteller AkzoNobel bestätigte, dass Hacker in das Netzwerk eines seiner US-Standorte eingedrungen sind, nachdem es zu einem Datenleck durch die Ransomware-Bande Anubis gekommen war.
AkzoNobel ist ein großes Unternehmen für Farben und Lacke mit bekannten Marken wie Dulux, Sikkens, International und Interpon unter seinem Dach. Die Ransomware-Gruppe Anubis behauptet, 170 GB Daten von dem Unternehmen gestohlen zu haben. Zu den auf ihrer Leak-Website veröffentlichten Beispielen gehören Berichten zufolge vertrauliche Vereinbarungen mit namhaften Kunden, E-Mail-Adressen, Telefonnummern, private E-Mail-Korrespondenz, Pass-Scans, Materialprüfungsdokumente und interne technische Spezifikationsblätter.
Unterdessen erklärte das Unternehmen, dass die Auswirkungen offenbar begrenzt sind und dass es geeignete Maßnahmen ergreift, um potenziell betroffene Parteien zu benachrichtigen und zu unterstützen.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Ransomware-Gruppen wie Anubis arbeiten nach einem Ransomware-as-a-Service-Modell (RaaS), das die Hürden für Cyberkriminalität senkt und es auch technisch weniger versierten Kriminellen erleichtert, ausgeklügelte Angriffe zu starten. Um dieser wachsenden Bedrohung durch Ransomware entgegenzuwirken, sollten Unternehmen eine proaktive Bedrohungsüberwachung implementieren, verschlüsselte, regelmäßig getestete Backups erstellen und sicherstellen, dass Systeme schnell wiederhergestellt werden können, ohne auf Lösegeldzahlungen angewiesen zu sein.
Vereinigte Staaten
LexisNexis Recht & Beruf
Der Datenanalyse-Gigant LexisNexis bestätigte, dass seine Abteilung „Legal & Professional“ einen Cybersicherheitsvorfall erlebt hat, nachdem die Cyberkriminalitätsgruppe Fulcrumsec die Verantwortung für den Angriff auf das Unternehmen übernommen hatte.
Am 3. März gab die Cyberkriminalitätsgruppe bekannt, dass sie 2 GB Daten von LexisNexis Legal & Professional gestohlen habe, darunter Unternehmenskontodaten, Mitarbeiterzugangsdaten, Geheimnisse zur Softwareentwicklung und personenbezogene Daten von 400.000 Personen. Am folgenden Tag, dem 4. März, bestätigte das Unternehmen den Vorfall und erklärte, dass es den Datenverstoß eingedämmt habe und weder seine Produkte noch seine Dienstleistungen beeinträchtigt seien. Nach Angaben des Unternehmens wurde nur auf eine begrenzte Anzahl von Servern zugegriffen, und die darauf gespeicherten Daten bestanden größtenteils aus veralteten Informationen aus der Zeit vor 2020.
Die Angreifer sollen die Dateien aus einer LexisNexis-AWS-Instanz exfiltriert haben, indem sie eine ungepatchte React2Shell-Sicherheitslücke ausnutzten.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Dieser Vorfall unterstreicht die Bedeutung eines proaktiven Patch-Managements, da nicht gepatchte Schwachstellen nach wie vor ein häufiger Einstiegspunkt für Angreifer sind. Unternehmen sollten routinemäßige Patches automatisieren, risikobasierte Updates für kritische Systeme priorisieren und intelligente Automatisierungstools einsetzen, um hochriskante Schwachstellen zu identifizieren und zu beheben, bevor sie ausgenutzt werden können.
