Active Exploitation
Ivanti EPMM CVE-2026-6973 erlaubt authentifizierten Admins Remote Code Execution auf Endpoint Manager Mobile. Ivanti bestätigt limited exploitation und reiht den Fehler neben den älteren Lücken CVE-2026-1281 und CVE-2026-1340 ein. CISA hat die Lücke in den KEV-Katalog aufgenommen und setzt Bundesbehörden eine Frist von vier Tagen, wie BleepingComputer und der Ivanti Security Advisory dokumentieren. Shadowserver zählt über 800 exponierte Appliances mit 508 Instanzen in Europa und 182 in Nordamerika, was den Patchdruck für Mobilflotten in unserer Lagebeobachtung deutlich erhöht.
Palo Alto PAN-OS CVE-2026-0300 ist ein Buffer Overflow in User-ID und Captive Portal, der unauthentifizierte Remote Code Execution mit Root-Rechten ermöglicht. Palo Alto schreibt die Aktivität dem Cluster CL-STA-1132 zu und stuft die Gruppe als "likely state-sponsored" ein, wobei in der Kampagne Earthworm und ReverseSocks5 zum Einsatz kommen. Laut Unit 42 handelt es sich um Werkzeuge, die "predominantly Chinese APTs" zugeordnet werden. Patches werden gestaffelt am 13. und 28. Mai ausgeliefert, Details listet das Palo Alto Advisory. Aus unserer Telemetrie sehen wir bereits Scan-Aktivität gegen exponierte Captive-Portal-Endpunkte.
cPanel CVE-2026-41940 ist eine Authentication-Bypass-Lücke, die aktiv von Mr_Rot13 ausgenutzt wird. QiAnXin XLab beobachtet über 2.000 angreifende IPs aus Deutschland, den USA, Brasilien und den Niederlanden, wie auch The Hacker News berichtet. Mr_Rot13 deployt nach erfolgreichem Bypass eigene Backdoors auf den betroffenen Hosting-Servern. Aus unserer Telemetrie tauchen passende Indikatoren gegen mandantenrelevante cPanel-Instanzen auf.
Linux Dirty Frag beschreibt die Kombination aus CVE-2026-43284 im xfrm-ESP-Pfad und CVE-2026-43500 in RxRPC. Microsoft meldet "limited in-the-wild activity" gegen die Kernel-Lücke, wie SecurityWeek dokumentiert. Nach einem Embargo-Bruch am 7. Mai wurde ein Proof-of-Concept öffentlich, was den Druck auf ungepatchte Kernel weiter erhöht.
Critical Vulnerabilities
Fortinet FortiAuthenticator CVE-2026-44277 ist eine Improper-Access-Control-Lücke mit kritischer Einstufung, parallel adressiert Fortinet die FortiSandbox-Lücke CVE-2026-26083 wegen fehlender Authentifizierung. Beide Schwachstellen erlauben Remote Code Execution, eine Ausnutzung ist bisher nicht gemeldet, wie das FortiGuard PSIRT bestätigt. Für Identity-Komponenten dieser Klasse empfehlen wir vorgezogenes Patching, da Authenticator-Systeme zentrale Vertrauensanker im Netzwerk darstellen.
SAP Commerce Cloud CVE-2026-34263 erlaubt unauthentifizierte Remote Code Execution durch eine Spring-Security-Fehlkonfiguration, parallel patcht SAP die S/4HANA-SQL-Injection CVE-2026-34260. Details zur Commerce-Cloud-Lücke liefert die NVD-Eintragsseite. Beide Lücken betreffen produktionsnahe SAP-Stacks und gehören in dieser Patchrunde priorisiert behandelt.
Microsoft Windows DNS Client CVE-2026-41096 ist ein heap-basierter Buffer Overflow, der unauthentifizierte Remote Code Execution über das Netzwerk erlaubt. Die Schwachstelle ist Teil der Mai-Patchrunde und wird im MSRC Update Guide beschrieben. Eine zweite kritische Lücke, Azure DevOps CVE-2026-42826 mit CVSS 10, ist bereits serverseitig gepatcht.
Supply Chain
Shai-Hulud hat die TanStack- und Mistral-Pakete im npm-Registry getroffen und wird TeamPCP zugerechnet. BleepingComputer beschreibt 84 schädliche Versionen über 42 TanStack-Pakete, die trotz gültiger SLSA-Build-Level-3-Provenance veröffentlicht wurden. Der Angriff nutzt OIDC-Token-Hijack im CI-Pipeline-Pfad, wodurch die Signatur formal valide bleibt. Endor Labs zählt über 160 betroffene Pakete, Aikido 373 und Socket 416, was die Streubreite der Welle verdeutlicht.
Checkmarx Jenkins AST Plugin wurde in der Version 2026.5.09 kompromittiert und verteilt einen Infostealer. BleepingComputer ordnet den Angriff TeamPCP zu, die dafür Credentials aus dem vorangegangenen Trivy-Breach wiederverwendet haben. Build-Pipelines mit dem Plugin gehören kurzfristig isoliert und auf Secret-Exfiltration geprüft.
RubyGems hat Neuregistrierungen ausgesetzt und spricht in der Mitteilung von einem "major malicious attack". Die Suspendierung schließt einen aktiven Angriffsvektor, wie The Hacker News berichtet. Aus unserer Lagebeobachtung passt diese Welle in das Gesamtbild koordinierter Registry-Angriffe dieser Periode.
Daemon Tools wurde seit dem 8. April über die Versionen 12.5.0.2421 bis 12.5.0.2434 in einem Supply-Chain-Vorfall trojanisiert. SecurityWeek ordnet die Aktivität chinesischsprachigen Angreifern zu, die einen QUIC-basierten RAT an eine einzelne russische Bildungseinrichtung ausliefern. Die enge Zielwahl deutet auf hochselektive Operationen, nicht auf breit gestreute Massenausnutzung.
Threat Actors & Campaigns
MuddyWater (G0069) setzt Chaos-Ransomware als Tarnung über tatsächlichen Spionageoperationen ein. The Record zitiert Rapid7-Analysen, die das Vorgehen als bewussten Umlenkungsversuch werten. Die Kombination aus Ransomware-Lärm und stiller Datenabgreifung erschwert Triage und Attribution in der Incident Response.
Seedworm hat in einer aktuellen Kampagne neun Organisationen in neun Ländern auf vier Kontinenten getroffen, darunter einen großen südkoreanischen Elektronikhersteller. Symantec Threat Intelligence beschreibt DLL-Sideloading über signierte Fortemedia- und SentinelOne-Binaries. Aus unserer Telemetrie korrespondieren Sideloading-Muster mit dem beschriebenen Tooling.
APT37 (G0067) verbreitet die Android-Malware BirdCall über eine Supply-Chain-Kompromittierung der Gaming-Plattform Sqgame und zielt auf ethnische Koreaner in Yanbian, China. ESET Research dokumentiert die trojanisierte Update-Kette als Initial Access. Aus unserer Lagebeobachtung deckt sich der Vektor mit beobachteten Android-Implantaten gegen Diaspora-Ziele.
BO Team und Head Mare koordinieren Operationen gegen russische Ziele, wie Kaspersky gegenüber The Record bestätigt. Die geteilte Infrastruktur und arbeitsteilige Vorgehensweise werten die Forscher als bewusste Bündelung hacktivistischer Kapazitäten.
ShinyHunters reklamieren den Canvas-LMS-Breach bei Instructure mit 280 Millionen Datensätzen aus 8.809 Hochschulen. BleepingComputer berichtet zusätzlich von XSS-basierter Verunstaltung von Hochschulportalen. Der US-Kongress fordert Aussagen von Instructure zum Vorfall.
Tools & Techniques
Google GTIG dokumentiert den ersten bekannten, durch KI entwickelten Zero-Day für Massenausnutzung, ein Python-Skript zum 2FA-Bypass in einem verbreiteten Open-Source-Sysadmin-Werkzeug. GTIG ordnet das Werkzeug einer beobachteten Initial-Access-Kampagne zu, wie auch The Hacker News zusammenfasst. Die Erkenntnis verschiebt die Diskussion um KI-Coding von Konzept zu eingesetzter Offensivfähigkeit.
CloudZ RAT mit dem Pheno-Plugin missbraucht Windows Phone Link, um SMS und OTPs vom Desktop aus abzugreifen, ohne das Mobilgerät selbst zu kompromittieren. Talos beschreibt die Plugin-Architektur, The Hacker News ergänzt operative Details. Der Ansatz umgeht klassische Mobile-EDR-Erkennung, weil die OTP-Abfangstrecke ausschließlich auf der Windows-Seite verläuft.
Donuts and Beagles betreibt die gefälschte Domain claude-pro[.]com als Verteiler für die Beagle-Backdoor. Sophos beschreibt DLL-Sideloading über einen signierten G-DATA-Updater als Ausführungspfad. Die Kampagne nutzt das hohe Suchvolumen rund um KI-Produkte als Köder.
Patches & Advisories
Microsoft Patch Tuesday Mai 2026 schließt laut BleepingComputer 120 Schwachstellen ohne aktiv ausgenutzte Zero-Days, SecurityWeek zählt 137 Lücken und heise online nennt rund 140 Issues. Im Fokus stehen die DNS-Client-Lücke CVE-2026-41096 sowie die Word-RCE-Lücken CVE-2026-40364 und CVE-2026-40361, die bereits über den Vorschaubereich greifen, sowie die bereits serverseitig gefixte Azure-DevOps-Lücke CVE-2026-42826 mit CVSS 10. Microsoft hebt hervor, viele dieser Fehler durch eigene KI-Agenten gefunden zu haben.
Policy & Regulation
CISA "CI Fortify" ist eine neue Initiative, die kritischen Infrastrukturen einen Leitfaden für den Offline-Betrieb während Cyberangriffen an die Hand gibt. The Record verweist auf Volt Typhoon (G1017) als Treiber für die strategische Resilienzplanung. Der Schritt schiebt Notfallbetrieb organisatorisch vor reine Detection-Maßnahmen.
US-Verurteilungen gegen die Betreiber von Laptop-Farmen für nordkoreanische IT-Worker, Knoot und Prince, fallen auf jeweils 18 Monate Haft. BleepingComputer nennt etwa 70 betroffene Unternehmen im Zeitraum der Vermittlung. Das Urteil etabliert einen Präzedenzfall für Inlandsmittäter solcher Operationen.
Take-Aways
Diese Woche zeigt, wie eng aktiv ausgenutzte Lücken in Edge- und Identity-Komponenten mit weitläufigen Supply-Chain-Wellen verzahnt sind. Wer Ivanti EPMM, Palo Alto PAN-OS und cPanel nicht innerhalb der CISA-Frist nachzieht, wird in der nächsten Lagerunde wahrscheinlich Initial-Access-Fälle sehen. Die Shai-Hulud-Welle samt Checkmarx-Plugin-Kompromittierung verlangt, signierte Artefakte nicht länger als Vertrauensargument zu werten, sondern Build-Provenance, OIDC-Pfade und Plugin-Stände aktiv zu prüfen. Auf Akteursseite verschmelzen Spionage und Lärmoperationen, sichtbar an MuddyWater mit Chaos-Tarnung und an Seedworm mit signierten Sideloading-Ketten, sodass Triage stärker auf Telemetrie-Korrelation als auf Familien-Etiketten setzen muss. Aus unserer Lagebeobachtung verdienen cPanel-Hosting, PAN-OS-Captive-Portale und Android-Flotten mit Bezug zu koreanischen Diaspora-Communities diese Woche besondere Aufmerksamkeit.