SecBoard
HochWochenlageScore: 70/100

Wochenlage KW 26/2026: KEV-Welle bei Cisco, Splunk und Lantronix — Supply-Chain-Angriffe häufen sich

29. Juni 2026
Wochenlage KW 26/2026: KEV-Welle bei Cisco, Splunk und Lantronix — Supply-Chain-Angriffe häufen sich

Kurzfazit

Die Kalenderwoche 26 war geprägt von einer Häufung aktiv ausgenutzter Schwachstellen: CISA ergänzte den KEV-Katalog gleich mehrfach (Splunk, Cisco Unified CM, Cisco SD-WAN, Lantronix-OT, PTC Windchill). Parallel zog die Software-Lieferkette Angriffe an — von nordkoreanischen npm-Paketen bis zu manipulierten WordPress-Release-Kanälen. Positiv: die Operation Endgame zerschlug Amadey- und StealC-Infrastruktur.

Überblick

Die KW 26/2026 stand im Zeichen einer dichten Folge aktiv ausgenutzter Schwachstellen und einer auffälligen Häufung von Supply-Chain-Angriffen. erweiterte den Known-Exploited-Vulnerabilities-Katalog () mehrfach; mehrere der betroffenen Produkte sitzen an exponierten, kritischen Stellen (Perimeter-Firewalls, zentrale Kommunikations- und Netzwerk-Management-Systeme, OT-Gateways). Gleichzeitig zielten Angreifer verstärkt auf die Software-Lieferkette. Eine internationale Strafverfolgungsaktion setzte dem ein deutliches Zeichen entgegen.

Top-Prioritäten der Woche (KEV & aktive Ausnutzung)

  • Splunk Enterprise — CVE-2026-20253 ( 9.8, 88%, ): Unauthentifizierte Dateioperationen bis hin zu ; Ausnutzung wenige Tage nach Offenlegung. Trifft die zentrale Detection-Plattform vieler SOCs.
  • Cisco Unified CM — CVE-2026-20230 ( 8.6, ): mit unauthentifiziertem File-Write bis Root; war vor den Angriffen öffentlich. Gemeinsam mit PTC Windchill — CVE-2026-12569 (erstmalige Ausnutzung in der Wildnis) am 25.06. in den aufgenommen.
  • Cisco Catalyst SD-WAN — CVE-2026-20245 ( 7.8, ): Als mindestens zwei Monate vor dem Patch ausgenutzt; Root-Zugriff und Anlegen betrügerischer Root-Konten. Bereits der 7. ausgenutzte Cisco-SD-WAN-Fehler in 2026.
  • Lantronix EDS5000 — CVE-2025-67038 ( 9.8, ): Command-Injection an einem Serial-to-IP-Gateway — ein Brückenkopf an der IT/OT-Schnittstelle, nach vorausgegangener OT-Bedrohungswarnung.

Gemeinsamer Nenner: unauthentifizierte Ausnutzung gegen exponierte, schwer zu patchende Infrastruktur. Diese Einträge gehören in dieser Woche an die Spitze der Patch-Priorisierung.

Supply-Chain im Fokus

Die Lieferkette war ein zweiter Schwerpunkt. Microsoft schrieb einen npm-Supply-Chain-Angriff auf das Mastra-AI-Ökosystem (über 140 Pakete, Krypto-Diebstahl als Ziel) der nordkoreanischen Gruppe Sapphire Sleet/BlueNoroff zu — eingebettet in ein Muster, in dem NK-Akteure gezielt Entwicklerwerkzeuge missbrauchen. Parallel wurden ShapedPlugin-WordPress-Pro-Plugins über manipulierte offizielle Release-Kanäle mit einer ausgeliefert, begleitet von weiteren Vorfällen (Klue/Salesforce-Datenabfluss, rund 1.500 manipulierte AUR-Pakete bei Arch Linux). Die Botschaft: Vertrauenswürdige Distributionswege sind selbst zum Angriffsvektor geworden.

Operatives / Takedowns

Als Gegengewicht zerschlug die Operation Endgame (Microsoft, Europol und Partner wie Bitdefender, Bitsight, ESET) die geteilte Infrastruktur der Infostealer Amadey und StealC — Hunderte C&C-Server gestört, rund 27 Millionen gestohlene Zugangsdaten gesichert. Für Verteidiger heißt das vor allem: Exposition prüfen und betroffene Zugangsdaten rotieren, denn bereits exfiltrierte Daten verschwinden durch einen Takedown nicht.

Was diese Woche zu tun ist

  • KEV-Einträge der Woche gegen das eigene Inventar abgleichen und die genannten CVEs als Notfall-Patches behandeln (Splunk, Cisco Unified CM, Cisco SD-WAN, Lantronix, PTC Windchill).
  • Lange unentdeckt ausgenutzte Systeme (insb. Cisco SD-WAN Manager) als potenziell kompromittiert behandeln und auf betrügerische Konten/Persistenz prüfen.
  • Abhängigkeiten und Update-Bezugsquellen prüfen: npm-/Plugin-Pakete gegen die gemeldeten Supply-Chain-Vorfälle abgleichen, Integrität (Signaturen/Hashes) verifizieren.
  • Exposition gegenüber Infostealern bewerten: Passwörter potenziell betroffener Konten zurücksetzen und durchsetzen.

Quellenhinweise

Die Wochenlage verdichtet die Einzelmeldungen der KW 26 aus CISA-KEV-Aktualisierungen sowie übereinstimmender Berichterstattung von The Hacker News, SecurityWeek und BleepingComputer. Details und Einzelnachweise finden sich in den jeweiligen Lageartikeln dieser Woche.

Was Security-Teams jetzt prüfen sollten

  • 1KEV-Einträge der Woche (Splunk, Cisco Unified CM, Cisco SD-WAN, Lantronix, PTC Windchill) gegen das Inventar abgleichen und als Notfall-Patches behandeln.
  • 2Cisco SD-WAN Manager und andere lange ausgenutzte Systeme als potenziell kompromittiert prüfen (Konten, Persistenz).
  • 3npm-/WordPress-Plugin-Abhängigkeiten gegen die gemeldeten Supply-Chain-Vorfälle abgleichen und Update-Integrität verifizieren.
  • 4Infostealer-Exposition (Amadey/StealC) bewerten: Passwörter zurücksetzen und MFA durchsetzen.
  • 5Perimeter- und Management-Schnittstellen (Firewalls, Unified CM, OT-Gateways) aus untrusted Netzen einschränken.

Betroffene Technologien

network-perimeterit-saas

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 29. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#Wochenlage#KW26#KEV#Supply Chain#Cisco#Splunk#Operation Endgame