Die CISA hat am 27. Mai 2026 drei Schwachstellen in ihren KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen und damit bestätigt, dass sie in realenAngriffen aktiv ausgenutztwerden.
Obwohl diese Schwachstellen unterschiedliche Technologien betreffen, haben sie ein gemeinsames Thema: die Kompromittierung vertrauenswürdiger Softwareverteilungs- und Entwicklungspipelines. Im Gegensatz zu herkömmlichen Schwachstellen, die auf exponierte Dienste abzielen, ermöglichen diese Probleme Angreifern, bösartigen Code über legitime Kanäle wie Software-Installationsprogramme, npm-Pakete und Entwicklungswerkzeuge zu verbreiten.
Die drei Sicherheitslücken sind:
Diese Einträge verdeutlichen den zunehmenden Fokus auf Angriffe auf die Software-Lieferkette, die sowohl auf Endbenutzerals auch auf Entwicklerumgebungen abzielen.
Betroffene Komponenten
CVE-2026-8398: Daemon Tools Lite
Bei dieser Schwachstelle handelte es sich um einen Angriff in der Lieferkette, bei dem die offiziellen Installationspakete von Daemon Tools Lite, die über die legitime Website des Herstellers vertrieben wurden, beschädigt wurden. Die Angreifer verschafften sich Zugang zur Build- oder Distributionsinfrastruktur des Herstellers und betteten bösartigen Code in digital signierte Binärdateien ein.
Im Gegensatz zu herkömmlichen Sicherheitslücken, bei denen ein laufender Dienst ausgenutzt werden muss, handelt es sich bei diesem Problem um eine Kompromittierung der Software-Lieferkette, bei der bösartiger Code in die an Endbenutzer verteilte Software eingebettet wurde. Da die Software legitim erschien, haben die betroffenen Systeme dem Installationsprogramm möglicherweise vertraut und es ausgeführt, ohne dass herkömmliche Sicherheitskontrollen ausgelöst wurden.
CVE-2026-45321: TanStack
Bei dieser Schwachstelle handelt es sich um eine Kompromittierung der Lieferkette innerhalb des TanStack npm-Ökosystems. Die Angreifer nutzten legitime GitHub-Aktionsveröffentlichungs-Workflows und eine vertrauenswürdige OIDC-Authentifizierung, um bösartige Paketversionen unter legitimen @tanstack/*-Paket-Namespaces zu verbreiten.
Die bösartigen Pakete enthielten Malware zum Diebstahl von Zugangsdaten und konnten sich auf nachgelagerte Anwendungen oder Entwicklerumgebungen auswirken, die die betroffenen Abhängigkeiten über normale Paketverwaltungs-Workflows installierten.
Da die kompromittierten Pakete über vertrauenswürdige npm-Kanäle verteilt wurden und legitim erschienen, haben Unternehmen, die die betroffenen Abhängigkeiten verwenden, möglicherweise unwissentlich bösartigen Code in Entwicklungs- oder Produktionsumgebungen eingeführt.
CVE-2026-48027: Nx-Konsole
Diese Schwachstelle betraf eine Kompromittierung der Lieferkette von Nx Console, einer Entwicklererweiterung, die mit Nx- und Lerna-Workflows verwendet wird. Eine bösartige Version der Erweiterung (18.95.0) wurde kurzzeitig über offizielle Marktplätze, einschließlich Visual Studio Marketplace und OpenVSX, veröffentlicht.
Die kompromittierte Erweiterung enthielt eingebetteten bösartigen Code und konnte die betroffenen Entwickler-Workstations der unbefugten Ausführung von Code oder dem Diebstahl von Zugangsdaten aussetzen. Da die Erweiterung über legitime Marktplätze vertrieben wurde und authentisch erschien, haben Entwickler die bösartige Version möglicherweise unwissentlich über normale Update- oder Installations-Workflows installiert.
Aktivität der Bedrohung
Alle drei Schwachstellen wurden in den KEV-Katalog aufgenommen, was auf eine bestätigte Ausnutzung in freier Wildbahn hindeutet.
Anders als bei der herkömmlichen Ausnutzung offener Dienste werden bei diesen Angriffen vertrauenswürdige Aktualisierungsmechanismen, Paketregistrierungen und Entwicklungswerkzeuge genutzt, um die Opfer indirekt zu erreichen. Dies erhöht die Wahrscheinlichkeit einer Kompromittierung selbst in ansonsten gut gesichertenUmgebungen.
Was dies für Unternehmen bedeutet
Diese Schwachstellen zeigen eine Verlagerung von der direkten Ausnutzung zur indirekten Kompromittierung über vertrauenswürdige Softwarequellen. Unternehmen können gefährdet sein, wenn sie:
Da der Angriffsvektor vorgelagert ist, können sich Infektionen über mehrere Systeme ausbreiten, bevor sie entdeckt werden.
Empfohlene Abhilfemaßnahmen
1. Sofortige Anwendung von Hersteller-Updates
Stellen Sie sicher, dass die gesamte betroffene Software (Daemon Tools, TanStack-Abhängigkeiten, Nx Console) auf sichere Versionen aktualisiert oder entfernt wird, wenn keine Updates verfügbar sind.
2. Überprüfung der Software-Lieferkette
3. Überwachung auf Anzeichen einer Kompromittierung
4. Beschränken Sie die Verwendung von nicht vertrauenswürdigen Softwarequellen
Zusammenfassung der Risiken
Diese Schwachstellen stellen eher ein hochwirksamesRisiko in der Lieferkettedar als eine herkömmlicheSicherheitslücke im Netzwerk.Da sie auf vertrauenswürdige Softwarebereitstellungsmechanismen abzielen, kann eine Ausnutzung konventionelle Schutzmechanismen umgehen und sowohl Endbenutzerals auch Entwicklungsumgebungenbeeinträchtigen.
Unternehmen sollten diese KEV-Einträge als vorrangige Abhilfemaßnahmen behandeln und prüfen, ob betroffene Software oder Abhängigkeiten in ihrer Umgebung vorhanden sind.