Wochenlage KW 26/2026: KEV-Welle bei Cisco, Splunk und Lantronix — Supply-Chain-Angriffe häufen sich

Kurzfazit
Die Kalenderwoche 26 war geprägt von einer Häufung aktiv ausgenutzter Schwachstellen: CISA ergänzte den KEV-Katalog gleich mehrfach (Splunk, Cisco Unified CM, Cisco SD-WAN, Lantronix-OT, PTC Windchill). Parallel zog die Software-Lieferkette Angriffe an — von nordkoreanischen npm-Paketen bis zu manipulierten WordPress-Release-Kanälen. Positiv: die Operation Endgame zerschlug Amadey- und StealC-Infrastruktur.
Überblick
Die KW 26/2026 stand im Zeichen einer dichten Folge aktiv ausgenutzter Schwachstellen und einer auffälligen Häufung von Supply-Chain-Angriffen. CISA erweiterte den Known-Exploited-Vulnerabilities-Katalog (KEV) mehrfach; mehrere der betroffenen Produkte sitzen an exponierten, kritischen Stellen (Perimeter-Firewalls, zentrale Kommunikations- und Netzwerk-Management-Systeme, OT-Gateways). Gleichzeitig zielten Angreifer verstärkt auf die Software-Lieferkette. Eine internationale Strafverfolgungsaktion setzte dem ein deutliches Zeichen entgegen.
Top-Prioritäten der Woche (KEV & aktive Ausnutzung)
- Splunk Enterprise — CVE-2026-20253 (CVSS 9.8, EPSS 88%, KEV): Unauthentifizierte Dateioperationen bis hin zu RCE; Ausnutzung wenige Tage nach Offenlegung. Trifft die zentrale Detection-Plattform vieler SOCs.
- Cisco Unified CM — CVE-2026-20230 (CVSS 8.6, KEV): SSRF mit unauthentifiziertem File-Write bis Root; PoC war vor den Angriffen öffentlich. Gemeinsam mit PTC Windchill — CVE-2026-12569 (erstmalige Ausnutzung in der Wildnis) am 25.06. in den KEV aufgenommen.
- Cisco Catalyst SD-WAN — CVE-2026-20245 (CVSS 7.8, KEV): Als Zero-Day mindestens zwei Monate vor dem Patch ausgenutzt; Root-Zugriff und Anlegen betrügerischer Root-Konten. Bereits der 7. ausgenutzte Cisco-SD-WAN-Fehler in 2026.
- Lantronix EDS5000 — CVE-2025-67038 (CVSS 9.8, KEV): Command-Injection an einem Serial-to-IP-Gateway — ein Brückenkopf an der IT/OT-Schnittstelle, nach vorausgegangener OT-Bedrohungswarnung.
Gemeinsamer Nenner: unauthentifizierte Ausnutzung gegen exponierte, schwer zu patchende Infrastruktur. Diese Einträge gehören in dieser Woche an die Spitze der Patch-Priorisierung.
Supply-Chain im Fokus
Die Lieferkette war ein zweiter Schwerpunkt. Microsoft schrieb einen npm-Supply-Chain-Angriff auf das Mastra-AI-Ökosystem (über 140 Pakete, Krypto-Diebstahl als Ziel) der nordkoreanischen Gruppe Sapphire Sleet/BlueNoroff zu — eingebettet in ein Muster, in dem NK-Akteure gezielt Entwicklerwerkzeuge missbrauchen. Parallel wurden ShapedPlugin-WordPress-Pro-Plugins über manipulierte offizielle Release-Kanäle mit einer Backdoor ausgeliefert, begleitet von weiteren Vorfällen (Klue/Salesforce-Datenabfluss, rund 1.500 manipulierte AUR-Pakete bei Arch Linux). Die Botschaft: Vertrauenswürdige Distributionswege sind selbst zum Angriffsvektor geworden.
Operatives / Takedowns
Als Gegengewicht zerschlug die Operation Endgame (Microsoft, Europol und Partner wie Bitdefender, Bitsight, ESET) die geteilte Infrastruktur der Infostealer Amadey und StealC — Hunderte C&C-Server gestört, rund 27 Millionen gestohlene Zugangsdaten gesichert. Für Verteidiger heißt das vor allem: Exposition prüfen und betroffene Zugangsdaten rotieren, denn bereits exfiltrierte Daten verschwinden durch einen Takedown nicht.
Was diese Woche zu tun ist
- KEV-Einträge der Woche gegen das eigene Inventar abgleichen und die genannten CVEs als Notfall-Patches behandeln (Splunk, Cisco Unified CM, Cisco SD-WAN, Lantronix, PTC Windchill).
- Lange unentdeckt ausgenutzte Systeme (insb. Cisco SD-WAN Manager) als potenziell kompromittiert behandeln und auf betrügerische Konten/Persistenz prüfen.
- Abhängigkeiten und Update-Bezugsquellen prüfen: npm-/Plugin-Pakete gegen die gemeldeten Supply-Chain-Vorfälle abgleichen, Integrität (Signaturen/Hashes) verifizieren.
- Exposition gegenüber Infostealern bewerten: Passwörter potenziell betroffener Konten zurücksetzen und MFA durchsetzen.
Quellenhinweise
Die Wochenlage verdichtet die Einzelmeldungen der KW 26 aus CISA-KEV-Aktualisierungen sowie übereinstimmender Berichterstattung von The Hacker News, SecurityWeek und BleepingComputer. Details und Einzelnachweise finden sich in den jeweiligen Lageartikeln dieser Woche.
Was Security-Teams jetzt prüfen sollten
- 1KEV-Einträge der Woche (Splunk, Cisco Unified CM, Cisco SD-WAN, Lantronix, PTC Windchill) gegen das Inventar abgleichen und als Notfall-Patches behandeln.
- 2Cisco SD-WAN Manager und andere lange ausgenutzte Systeme als potenziell kompromittiert prüfen (Konten, Persistenz).
- 3npm-/WordPress-Plugin-Abhängigkeiten gegen die gemeldeten Supply-Chain-Vorfälle abgleichen und Update-Integrität verifizieren.
- 4Infostealer-Exposition (Amadey/StealC) bewerten: Passwörter zurücksetzen und MFA durchsetzen.
- 5Perimeter- und Management-Schnittstellen (Firewalls, Unified CM, OT-Gateways) aus untrusted Netzen einschränken.
Betroffene Technologien
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 29. Juni 2026