### Aktiv ausgenutzte Schwachstellen **CISA** hat zwei Schwachstellen in seinen Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und betont die dringende Notwendigkeit der Behebung: * **CVE-2025-66376** (CVSS-Score: 7.2): Eine gespeicherte Cross-Site-Scripting (XSS)-Schwachstelle in der klassischen Benutzeroberfläche von **ZCS**. Angreifer können diese Lücke ausnutzen, indem sie Cascading Style Sheets (CSS) @import-Direktiven innerhalb einer HTML-E-Mail verwenden. Dieses Problem wurde in den **Zimbra**-Versionen 10.0.18 und 10.1.13, die im November 2025 veröffentlicht wurden, behoben. * **CVE-2026-20963** (CVSS-Score: 8.8): Eine Deserialisierung von nicht vertrauenswürdigen Daten in **Microsoft Office SharePoint**. Diese Schwachstelle ermöglicht es unbefugten Angreifern, beliebigen Code remote auszuführen. **Microsoft** hat im Januar 2026 einen Patch für diese Lücke veröffentlicht. ### Operation GhostMail: Ausnutzung von Zimbra XSS Die Aufnahme von **CVE-2025-66376** in den KEV-Katalog folgt einem Bericht von **Seqrite Labs**, das eine Kampagne namens "Operation GhostMail" aufgedeckt hat. Diese Kampagne, die einem mutmaßlichen russischen staatlich unterstützten Akteur zugeschrieben wird, zielte auf den staatlichen hydrografischen Dienst der Ukraine (hydro.gov[.]ua) ab. **Seqrite Labs** beschrieb detailliert, wie Angreifer eine sozial manipulierte Praktikumsanfrage nutzten, um eine verschleierte JavaScript-Payload zu liefern, die direkt in den E-Mail-Text eingebettet war. Wenn ein Opfer die E-Mail in einer anfälligen **Zimbra**-Webmail-Sitzung öffnet, nutzt die Payload **CVE-2025-66376** aus. "Die Phishing-E-Mail enthält keine bösartigen Anhänge, keine verdächtigen Links, keine Makros. Die gesamte Angriffskette befindet sich im HTML-Text einer einzigen E-Mail, es gibt keine bösartigen Anhänge." Diese JavaScript-Malware ist darauf ausgelegt, sensible Informationen zu sammeln, einschließlich Anmeldedaten, Sitzungstoken, Wiederherstellungscodes für die Zwei-Faktor-Authentifizierung (2FA), im Browser gespeicherte Passwörter und den Inhalt des Postfachs des Opfers der letzten 90 Tage. Die gestohlenen Daten werden dann sowohl über DNS als auch über HTTPS exfiltriert. Die Kampagne stimmt mit früheren Angriffen russischer staatlich unterstützter Akteure überein, wie z. B. Operation RoundPress, die XSS-Schwachstellen in Webmail-Software ausnutzten, um ukrainische Organisationen zu kompromittieren. **Seqrite Labs** betont, dass "Operation GhostMail die fortlaufende Entwicklung von webmail-fokussierten Angriffen demonstriert, bei denen Angreifer ausschließlich auf browserbasierte Diebstahlwerkzeuge anstelle von herkömmlicher Malware-Binärdateien setzen. Durch das Einbetten von verschleiertem JavaScript direkt in eine HTML-E-Mail und die Ausnutzung einer **Zimbra**-Webmail-XSS-Bedingung erreicht der Bedrohungsakteur eine vollständige Sitzungsübernahme, ohne Dateien abzulegen, Makros auszunutzen oder Endpunkt-basierte Erkennungen auszulösen." ### Ausnutzung der SharePoint-Schwachstelle Derzeit gibt es keine öffentlichen Berichte, die die Ausnutzung von **CVE-2026-20963** detailliert beschreiben, einschließlich der Identität des Bedrohungsakteurs oder des Umfangs der Angriffe. Aufgrund der aktiven Ausnutzung rät **CISA** den Behörden des Federal Civilian Executive Branch (FCEB) jedoch dringend, die notwendigen Patches für **CVE-2025-66376** bis zum 1. April 2026 und für **CVE-2026-20963** bis zum 23. März 2026 anzuwenden. ### Interlock Ransomware und Cisco Zero-Day Diese Offenlegung fällt mit der Nachricht von **Amazon** zusammen, dass Bedrohungsakteure, die mit der **Interlock**-Ransomware in Verbindung stehen, seit dem 26. Januar 2026, vor der öffentlichen Offenlegung, eine kritische Sicherheitslücke in der Firewall-Management-Software von **Cisco** (**CVE-2026-20131**, CVSS-Score: 10.0) ausnutzen. Laut **Amazon** "zielt **Interlock** historisch auf bestimmte Sektoren ab, in denen operative Störungen maximalen Druck für die Zahlung erzeugen", darunter Bildung, Ingenieurwesen, Architektur, Bauwesen, Fertigung, Industrie, Gesundheitswesen und staatliche Einrichtungen. Dieser Vorfall unterstreicht den anhaltenden Trend, dass Bedrohungsakteure Netzwerkgeräte am Rande des Netzwerks von verschiedenen Anbietern wie **Cisco**, **Fortinet** und **Ivanti** ins Visier nehmen, um den ersten Zugriff auf Zielnetzwerke zu erhalten. Die Bewaffnung von **CVE-2026-20131** als Zero-Day-Exploit zeigt die erheblichen Investitionen, die Angreifer tätigen, um bisher unbekannte Schwachstellen zu entdecken, die erhöhten Zugriff gewähren. ### CISA fügt Cisco-Schwachstelle zum KEV-Katalog hinzu Am 19. März 2026 fügte **CISA** **CVE-2026-20131** seinem Katalog bekannter ausgenutzter Schwachstellen (KEV) hinzu und verpflichtete die FCEB-Behörden, ihre Systeme bis zum 22. März 2026 auf die neueste Version zu aktualisieren. Darüber hinaus gab **CISA** Ende letzten Monats eine Notfallanweisung heraus, in der die FCEB-Behörden aufgefordert wurden, kürzlich offengelegte Schwachstellen in **Cisco** Catalyst SD-WAN-Systemen (**CVE-2026-20127**, **CVE-2022-20775**, **CVE-2026-20122** und **CVE-2026-20128**) zu mindern, die aktiv ausgenutzt werden. Die Behörden mussten bis zum 23. März 2026 "alle Syslog-Protokolle" und andere relevante Cloud-Protokolle melden. ### VulnCheck-Analyse der Cisco SD-WAN-Schwachstelle Ein Bericht von **VulnCheck**, der letzte Woche veröffentlicht wurde, ergab, dass **CVE-2026-20133**, eine weitere Schwachstelle in Catalyst SD-WAN, ein "höheres Risiko birgt, als Verteidiger vielleicht erkennen" und wahrscheinlich von Angreifern ins Visier genommen wird. **VulnCheck** erklärte, dass der durch die Schwachstelle gewährte Dateisystemzugriff ausgenutzt werden kann, um den privaten Schlüssel des "vmanage-admin"-Benutzers zu extrahieren, wodurch das Network Configuration Protocol (NETCONF) kompromittiert wird, das zur Konfiguration und Verwaltung von SD-WAN-Geräten verwendet wird. Darüber hinaus kann die Schwachstelle dazu missbraucht werden, confd_ipc_secret preiszugeben, was es jedem lokalen Benutzer ermöglicht, zu einer uneingeschränkten Root-Shell zu eskalieren. Die **VulnCheck**-Forscher Caitlin Condon und Josh Shomo warnten davor, dass "frühe Exploits und die Aufmerksamkeit der Branche auf aufkommende Bedrohungen nützlich sein können, um wahrscheinliche Ausnutzungswege und Schwachstellennuancen zu verstehen, aber sie können Organisationen auch in die Irre führen, wenn sie sich auf ungetestete Forschungsartefakte oder eine zu enge Fokussierung auf bestimmte Angriffspfade verlassen."