### CISA markiert kritische Schwachstellen für sofortiges Handeln **CISA** hat kürzlich seinen **KEV**-Katalog aktualisiert und damit die aktive Ausnutzung von drei signifikanten Schwachstellen signalisiert. Dies verpflichtet Bundesbehörden, Korrekturen oder Abhilfemaßnahmen umgehend umzusetzen, was die unmittelbare Bedrohung hervorhebt, die diese Schwachstellen für die Cybersicherheitsinfrastruktur darstellen. Hier ist eine Aufschlüsselung der hinzugefügten Schwachstellen: * **CVE-2026-20245** (CVSS-Score: 7.8): Eine Schwachstelle bei unsachgemäßer Kodierung oder Maskierung in **Cisco Catalyst SD-WAN Manager**. Diese Schwachstelle könnte es einem authentifizierten, lokalen Angreifer ermöglichen, beliebige Befehle als Root auszuführen, indem er eine manipulierte Datei an das System übergibt. * **CVE-2026-11645** (CVSS-Score: 8.8): Eine Out-of-Bounds-Read-and-Write-Schwachstelle in **Google Chrome V8**. Diese kritische Schwachstelle könnte es einem entfernten Angreifer ermöglichen, über eine speziell gestaltete HTML-Seite beliebigen Code innerhalb einer Sandbox auszuführen. * **CVE-2026-7473** (CVSS-Score: 6.9): Eine Schwachstelle bei unvollständigen Vergleichen mit fehlenden Faktoren in **Arista Extensible Operating System (EOS)**. Dies könnte zur Verarbeitung von nicht konfiguriertem Tunnelverkehr führen. ### Arista EOS-Schwachstelle: Ausgenutzt, aber kein Patch geplant Die **Arista EOS**-Schwachstelle, **CVE-2026-7473**, stellt eine einzigartige Herausforderung dar. **Arista** hat bestätigt, dass diese Schwachstelle in freier Wildbahn aktiv ausgenutzt wird. Das Problem tritt auf betroffenen Plattformen auf, auf denen **Arista EOS** läuft und eine Tunnel-Entkapsulierungskonfiguration (wie **VXLAN**, Decap-Gruppen oder eine **GRE**-Tunnel-Schnittstelle) vorhanden ist. Der Switch kann unerwartete getunnelte Pakete fälschlicherweise entkapsulieren und weiterleiten, wenn ihre Ziel-IP mit seiner konfigurierten Entkapsulierungs-IP übereinstimmt, und dabei den Tunnelprotokolltyp nicht überprüfen. Betroffene Produkte sind die Serien 7020R, 7280R/R2 und 7500R/R2. Die Ausnutzung erfordert, dass das Gerät als Tunnelendpunkt mit einer Entkapsulierungs-IP konfiguriert ist. Obwohl aktiv ausgenutzt, hat **Arista** erklärt, dass keine Patches für **CVE-2026-7473** geplant sind. Das Unternehmen begründet dies mit dem Risiko, bestehende Konfigurationen in Deployments zu brechen. Stattdessen hat **Arista** Abhilfestrategien bereitgestellt, die sich auf die Anwendung von **Access Control Lists (ACLs)** auf vorgelagerten Geräten oder auf den Geräten konzentrieren, auf denen die unerwartete Entkapsulierung stattfindet. Ziel ist es, legitimen Tunnelverkehr selektiv zuzulassen oder bösartigen Tunnelverkehr zu blockieren. **Scott Christiansen, Lukas Peitz, Rich Compton und Jonathan Davis von Comcast** wurden für die verantwortungsvolle Offenlegung dieser Schwachstelle geehrt. ### Dringende Frist für Bundesbehörden Bundesbehörden des **Federal Civilian Executive Branch (FCEB)** wurden angewiesen, die notwendigen Korrekturen oder Abhilfemaßnahmen für alle drei Schwachstellen bis zum 23. Juni 2026 anzuwenden. Diese Anweisung unterstreicht die Dringlichkeit für IT-Sicherheitsexperten und datenschutzbewusste Benutzer, ihre Systeme zu bewerten und empfohlene Schutzmaßnahmen zu implementieren, um sich vor diesen aktiv ausgenutzten Bedrohungen zu schützen.