Ivanti Sentry: CVSS 10,0-Lücke wird aktiv ausgenutzt
13.06.2026 - 23:55:44 | boerse-global.de
Höchste Alarmstufe für Ivanti Sentry
Zwei kritische Sicherheitslücken in Ivanti Sentry werden bereits aktiv ausgenutzt. Die Schwachstelle CVE-2026-10520 erreicht mit einem CVSS-Wert von 10,0 die höchstmögliche Risikoeinstufung. Angreifer können ohne Authentifizierung Befehle mit Root-Rechten ausführen.
IT-Sicherheit in Unternehmen erfordert heute proaktive Strategien, um kritische Sicherheitslücken und neue Bedrohungen rechtzeitig abzuwehren. Dieses kostenlose E-Book enthüllt, wie Sie Schwachstellen schließen und Ihr Unternehmen ohne hohe Investitionen langfristig schützen. Gratis-E-Book: Cyber Security Bedrohungen abwenden
Eine zweite Lücke (CVE-2026-10523, CVSS 9,9) erlaubt das unbefugte Anlegen von Administratorenkonten. Erste kompromittierte Systeme mit platzierten Hintertüren wurden bereits 48 Stunden nach dem Advisory Anfang Juni gemeldet. Angriffe erfolgten kurz nach der Veröffentlichung von Proof-of-Concept-Studien.
Betroffen sind die Versionen 10.5.1, 10.6.1, 10.7.0 sowie ältere Stände. Patches stehen in den Versionen 10.5.2, 10.6.2 und 10.7.1 bereit. Die US-Behörde CISA hat eine strikte Frist zur Behebung angeordnet – für Bundesbehörden läuft sie Mitte Juni aus.
Breite Patch-Welle bei Microsoft und Oracle
Der jüngste Patch-Tuesday von Microsoft brachte Updates für über 200 Schwachstellen. Drei Zero-Day-Lücken (CVE-2026-45586, CVE-2026-49160, CVE-2026-50507) waren bereits vor der Bereitstellung der Patches als Exploits bekannt. Administratoren sollten zudem das Support-Ende für SharePoint 2016 und 2019 Mitte Juli im Blick behalten.
Auch Oracle reagierte auf eine kritische Lücke in PeopleSoft PeopleTools. Die Schwachstelle CVE-2026-35273 (CVSS 9,8) wurde von der Gruppierung ShinyHunters gegen mehr als 100 Organisationen eingesetzt. Besonders betroffen waren Bildungseinrichtungen – an der University of Nottingham entwendeten Angreifer umfangreiche Datenmengen. Ein Patch wurde bereits in der ersten Juni-Hälfte veröffentlicht.
Google klagt gegen KI-gestütztes Betrugsnetzwerk
Neben technischen Schwachstellen rückt der Missbrauch von Künstlicher Intelligenz in den Fokus. Google reichte Mitte Juni Zivilklage gegen ein chinesisches Netzwerk namens „Outsider Enterprise“ ein. Die Gruppe soll Googles KI Gemini zweckentfremdet haben, um automatisiert 131 Phishing-Kits und über 9.000 betrügerische Websites zu erstellen.
Allein im Mai versandte die Gruppe innerhalb von zwei Wochen rund 2,5 Millionen betrügerische SMS. Die Nachrichten zielten unter anderem auf Nutzer des Mautsystems E-ZPass ab. Schätzungen zufolge gibt es etwa 100.000 Opfer. Der Gesamtschaden durch KI-gestützten Betrug in den USA liegt bei rund 820 Millionen Euro. Google arbeitet bei der Aufarbeitung mit dem FBI und großen Mobilfunkbetreibern zusammen.
Da Angreifer zunehmend auf KI-gestützten Betrug setzen, müssen Unternehmen ihre Mitarbeiter jetzt für die psychologischen Manipulationstaktiken der Hacker sensibilisieren. Das kostenlose Anti-Phishing-Paket zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv gegen diese modernen Cyber-Angriffe absichern. Kostenlosen Anti-Phishing-Leitfaden jetzt herunterladen
Updates für Endgeräte und Zertifikatsmanagement
Xiaomi hat Mitte Juni mit der Verteilung von HyperOS 3 für 13 Flaggschiff- und Mittelklassegeräte begonnen. Das Update bringt eine umfassende Systemüberarbeitung.
Ein potenzielles Problem für ältere Android-Geräte konnte abgewendet werden: Das Stammzertifikat DST Root X3 von Let's Encrypt lief aus. Geräte mit Android-Versionen unter 7.1.1 hätten vor Zertifikatsfehlern gestanden. IdenTrust verlängerte das Cross-Signing um drei Jahre – die Kompatibilität bleibt vorerst ohne Auswirkungen für die Nutzer.
