Cyber-Sicherheit: Kritische Zero-Day-Schwachstellen und geopolitische Risiken bedrohen Infrastruktur
security news technical
trending_up Trend: security

Cyber-Sicherheit: Kritische Zero-Day-Schwachstellen und geopolitische Risiken bedrohen Infrastruktur

calendar_month 14. Juni 2026

Zusammenfassung

Kürzlich offengelegte Zero-Day-Schwachstellen in weit verbreiteter Unternehmenssoftware wie Splunk Enterprise und Ivanti Sentry zeigen die anhaltend hohe Bedrohungslage im Cyber-Raum. Parallel dazu warnen Sicherheitsbehörden vor einer Zunahme von Angriffen staatlich gelenkter Akteure auf kritische Infrastrukturen (KRITIS). Diese Vorfälle verdeutlichen, dass Cyber-Operationen zunehmend als Werkzeug geopolitischer Auseinandersetzungen eingesetzt werden.

Was ist passiert?

In den vergangenen Tagen wurden mehrere kritische Schwachstellen bekannt gegeben:

  1. Splunk Enterprise (CVE-2026-20253): Eine Schwachstelle in einem PostgreSQL-Sidecar-Dienst ermöglicht es nicht authentifizierten Angreifern über das Netzwerk, beliebige Dateien auf dem Host-System zu erstellen oder zu kürzen. Dies kann zur Remotecodeausführung (RCE) führen. Betroffen sind Versionen vor 10.2.4 und 10.0.7, während Splunk Cloud nicht betroffen ist.
  2. Ivanti Sentry (CVE-2026-10520): Eine OS-Command-Injection-Schwachstelle mit einem CVSS-Score von 10.0 ermöglicht unauthentifizierten Angreifern das Ausführen von beliebigem Code mit Root-Rechten. Die Schwachstelle wird bereits aktiv ausgenutzt, weshalb die CISA sie in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen hat. Betroffen sind Versionen 10.5.1, 10.6.1, 10.7.0 und älter.

Zusätzlich verzeichnen Sicherheitsdienste eine Zunahme zielgerichteter Angriffe auf kritische Infrastrukturen durch staatliche und staatlich unterstützte Akteure.

Warum es wichtig ist

Sicherheitslücken in zentralen Management- und Monitoring-Werkzeugen wie Splunk und Ivanti sind besonders kritisch, da sie Angreifern direkten Zugriff auf sensible Netzwerkelemente und Überwachungssysteme gewähren. Ivanti Sentry steuert den Zugriff auf interne Unternehmensressourcen; ein Einbruch kompromittiert somit die gesamte Netzwerksicherheitsarchitektur. Die Ausnutzung solcher Lücken durch staatlich gelenkte Akteure zur Spionage oder zur Vorbereitung von Sabotageakten (sogenanntes Pre-positioning) hebt das Risiko auf eine geopolitische Ebene.

Beweise

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2026-10520 in ihren KEV-Katalog aufgenommen, was die aktive Ausnutzung in freier Wildbahn bestätigt. Splunk selbst hat eine dringende Sicherheitswarnung veröffentlicht und die Existenz der Schwachstelle CVE-2026-20253 bestätigt. Geopolitische Berichte von Sicherheitsfirmen wie Mandiant und Trend Micro belegen zudem fortlaufende Kampagnen wie „Volt Typhoon“ und „Salt Typhoon“, bei denen kritische Netzwerke gezielt infiltriert werden.

Analyse

Die Kombination aus hochentwickelten Zero-Day-Exploits und geopolitischen Spannungen verändert die Bedrohungslandschaft grundlegend. Angreifer nutzen zunehmend legitime Administrationswerkzeuge („Living off the Land“) und Sicherheitslücken in Edge-Geräten, um Erkennungsmechanismen zu umgehen. Da viele dieser Angriffe von staatlich alimentierten Gruppen durchgeführt werden, verfügen sie über die notwendigen Ressourcen, um Schwachstellen unmittelbar nach deren Entdeckung oder sogar davor auszunutzen. Dies verkürzt das Zeitfenster für IT-Sicherheitsverantwortliche zur Reaktion dramatisch.

Praktische Erkenntnisse

  • Updates sofort einspielen: Patchen Sie Splunk Enterprise auf die Versionen 10.2.4 bzw. 10.0.7. Aktualisieren Sie Ivanti Sentry umgehend auf die Versionen 10.5.2, 10.6.2 oder 10.7.1.
  • Netzwerksegmentierung verschärfen: Isolieren Sie Administrations- und Monitoring-Dienste wie den betroffenen PostgreSQL-Sidecar-Dienst von Splunk, sodass dieser nicht aus dem öffentlichen Internet erreichbar ist.
  • Aktivitäten überwachen: Implementieren Sie verstärkt Verhaltensanalysen auf Edge-Geräten und Gateways, um Anomalien zu erkennen, die auf den Missbrauch administrativer Privilegien hinweisen.

Offene Fragen

  • In welchem Ausmaß wurden die Schwachstellen in Splunk Enterprise bereits vor der offiziellen Veröffentlichung im Geheimen ausgenutzt?
  • Welche konkreten staatlichen Akteure stecken hinter den aktuellen Kampagnen zur Ausnutzung von Ivanti Sentry und wie weit reicht deren Zugriff auf kritische Infrastrukturen bereits?

Quellen

  1. Splunk Security Advisory for CVE-2026-20253
  2. Ivanti Security Advisory for CVE-2026-10520
  3. CISA Known Exploited Vulnerabilities Catalog
  4. Tenable Research on Splunk and Ivanti Vulnerabilities
  5. Trend Micro Report on Geopolitical Cyber Threats 2026