Sicherheitslücken: Vier kritische Schwachstellen werden aktiv angegriffen

Belgische Behörden und Sicherheitsfirmen schlagen Alarm: Gleich mehrere schwerwiegende Sicherheitslücken in weit verbreiteter Unternehmenssoftware werden derzeit aktiv angegriffen. Betroffen sind Windows-Server, Citrix-Netzwerkgeräte und Palo-Alto-VPN-Lösungen – Systeme, die in unzähligen Unternehmen und Behörden weltweit im Einsatz sind.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Security-Report jetzt sichern

Windows-Domänencontroller im Visier

Das belgische Zentrum für Cybersicherheit (CCB) warnte bereits Anfang der Woche vor der aktiven Ausnutzung einer kritischen Lücke im Windows-Netlogon-Dienst. Die Schwachstelle mit der Kennung CVE-2026-41089 erhielt die alarmierende CVSS-Bewertung von 9,8 – die höchste Risikostufe. Es handelt sich um einen sogenannten Stack-basierten Pufferüberlauf, der es nicht authentifizierten Angreifern ermöglicht, aus der Ferne Code auf Windows-Domänencontrollern auszuführen.

Betroffen sind alle unterstützten Windows-Server-Versionen von 2012 bis 2025. Microsoft hatte bereits am 12. Mai 2026 ein Sicherheitsupdate veröffentlicht, nachdem das firmeneigene WARP-Team die Lücke entdeckt hatte. Eine offizielle Bestätigung, dass die Schwachstelle bereits ausgenutzt wird, steht vom Softwarekonzern allerdings noch aus. Sicherheitsexperten raten Unternehmen dringend, die Patches auf ihren Domänencontrollern zu priorisieren und die Netlogon-Aktivitäten genau zu überwachen.

Citrix NetScaler: Tausende Angriffe täglich

Noch dramatischer ist die Lage bei Citrix. Der Sicherheitsanbieter Fortinet bestätigte am 2. Juni 2026, dass eine kritische Schwachstelle in Citrix NetScaler ADC und Gateway massenhaft ausgenutzt wird. Die als CVE-2026-3055 geführte Lücke betrifft Geräte, die als SAML-Identitätsanbieter konfiguriert sind.

Branchenberichten zufolge finden täglich tausende Angriffe statt – mit dem Ziel, Sitzungstoken und Anmeldedaten zu stehlen. Das Fatale: Obwohl Citrix bereits im März 2026 Patches veröffentlichte, greifen die Angreifer gezielt ungepatchte Systeme an. Experten warnen zudem, dass gestohlene Sitzungstoken auch nach der Installation des Updates noch gültig sein können. Administratoren müssen daher alle aktiven Sitzungen manuell ungültig machen. Die Schwachstelle betrifft Versionen vor 13.1-62.23 und 14.1-60.58.

CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Anti-Phishing-Paket gratis herunterladen

Palo Alto Networks: Frist für Behörden abgelaufen

Die US-amerikanische Cybersicherheitsbehörde CISA hatte Bundesbehörden eine Frist bis zum 1. Juni 2026 gesetzt, um eine Umgehung der Authentifizierung in Palo Alto Networks PAN-OS zu beheben. Die Schwachstelle CVE-2026-0257 betrifft GlobalProtect-Portale und -Gateways und wurde am 29. Mai 2026 in den Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen.

Forscher von Rapid7 beobachteten die ersten Angriffe bereits am 17. Mai 2026 – kurz nachdem die Lücke bekannt wurde. Die Angreifer fälschen Authentifizierungs-Cookies, indem sie öffentliche Schlüssel verwenden, um sich unbefugten VPN-Zugang zu verschaffen. Während die ersten Angriffswellen noch keine Anzeichen für eine laterale Bewegung innerhalb der Netzwerke zeigten, haben spezialisierte Sicherheitseinheiten gezielte Kampagnen gegen den Gesundheits- und Finanzsektor beobachtet. Unternehmen, die die verfügbaren Patches für PAN-OS Versionen 10.2, 11.1, 11.2 oder 12.1 nicht sofort einspielen können, wird geraten, Authentifizierungs-Override-Cookies zu deaktivieren.

VoIP-Telefone als Einfallstor

Doch nicht nur Server und VPN-Lösungen sind betroffen. Eine kritische Sicherheitslücke in HP Poly VoIP-Telefonen könnte sich als Einfallstor für Unternehmensnetzwerke erweisen. Die Schwachstelle CVE-2026-0826 mit einer CVSS-Bewertung von 9,2 betrifft die Verarbeitung von SIP-INVITE-Anfragen.

Angreifer können auf den betroffenen VVX- und Trio-Serie-Geräten Code mit Root-Rechten ausführen. Sicherheitsanalysten warnen, dass kompromittierte Telefone als Ausgangspunkt für laterale Bewegungen in internen Netzwerken dienen oder für Audio-basierte Angriffe wie die Erstellung von Deepfakes genutzt werden könnten. Ein Patch zur Behebung der Lücke ist verfügbar.

de | wissenschaft | 69476167 |