Zwei kritische Schwachstellen beherrschen die Lage für deutsche Unternehmen.
Das BSI warnt vor einer aktiv ausgenutzten Lücke in Microsoft SharePoint. Die CISA hatte die Schwachstelle am 18. März in ihren Katalog ausgenutzter Sicherheitslücken aufgenommen. CERT-EU veröffentlichte am 25. März ein Advisory und verwies auf Maßnahmen aus der ToolShell-Angriffskampagne des Vorjahres. Der CVSS-Score liegt bei 9.8 von 10 und wurde hochgestuft, nachdem sich herausstellte, dass eine Ausnutzung auch ohne Authentifizierung möglich ist.
Parallel dazu hat CERT-Bund am 24. März Alarm wegen zweier Schwachstellen in Citrix NetScaler ADC und NetScaler Gateway geschlagen. CVE-2026-3055 ermöglicht es nicht authentifizierten Angreifern, aktive Session-Token aus dem Speicher betroffener Geräte auszulesen. CVE-2026-4368 kann durch eine Race Condition zur Übernahme fremder Benutzersitzungen führen. Besonders gefährdet sind Systeme, die als SAML Identity Provider konfiguriert sind, also eine in Unternehmensumgebungen weit verbreitete Konfiguration für Single Sign-On. Sicherheitsforscher bewerten eine baldige aktive Ausnutzung als sehr wahrscheinlich.
Sofortmaßnahmen: SharePoint patchen, NetScaler aktualisieren und aktiven Sessions beenden.

Cybersicherheitswarnung 2026-238220-1032 (25.03.2026) | CERT-Bund WID-SEC-2026-0836 (24.03.2026)
CVE-2026-20963 | CVE-2026-3055 | CVE-2026-4368
#Informationssicherheit #CISO #BSI #SharePoint #Citrix #NetScaler #Patchmanagement #NIS2 #CyberSecurity #ITSicherheit

I’ve been discussing patch/vulnerability management more often than usual lately. Here’s some food for thought I shared:

Not only recent examples have shown how quickly attackers turn fresh patches into mass exploitation. They’re not waiting 1–2 weeks while we run through test → stage → prod. Even with good reasons to test first, that timeline can be too slow for certain vulnerabilities.
We still need testing - and let’s be honest, the organization isn’t idle or excited about the next change to test - so the process won’t speed up.

The scope of patch/vulnerability management processes needs to expand: It doesn’t end when the patch is successfully applied. It needs to assess for each vulnerability:
 - Is this a trivial remote code execution on an network-edge device?
 - Or a niche, complex bug on an isolated system?

If it looks like the first case, plan for a compromise assessment alongside the patch rollout. Assume attackers may have moved faster than your change window.

And because reality often doesn’t give us perfect intel on day one, include structured follow-up, for example track emerging IOCs, exploit details, and vendor/community guidance post-release. This can tell you what to look for as signs of compromise or exploitation.

Bottom line: Let’s make the decision - whether and how deep to run a compromise assessment, plus the follow-up a formal part of patch/vulnerability management, and adapt the process where needed. For sure it won’t be easy, and it won’t fit every vuln on every asset. But the alternative might be a fully patched, yet compromised device that a simple check might have caught.

#PatchManagement #VulnerabilityManagement

Most breaches don’t start with zero-days.
They start with patches that existed for months.

Visibility beats panic.
Track what actually matters.

👉 https://cvedatabase.com

#CyberSecurity #PatchManagement

Zyxel addresses critical CVE-2025-13942 RCE affecting UPnP in 4G/5G CPEs, DSL/Ethernet, Fiber ONTs, and wireless extenders. Exploitation requires WAN + UPnP enabled; Shadowserver tracks ~120k exposed devices.

Additional post-auth command-injection flaws (CVE-2025-13943, CVE-2026-1459) patched. EOL devices (VMG1312, VMG3312/13, SBG3300/3500) remain unpatched; replacement recommended.

Mitigation recommendations:
• Apply firmware updates immediately
• Disable unnecessary UPnP/WAN access
• Monitor network exposure of legacy devices
• Track patched vs. unpatched CPEs/routers in enterprise inventories

Source: https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-rce-flaw-affecting-over-a-dozen-routers/

How are you prioritizing critical RCE patches for network devices? Comment below and follow for in-depth threat reporting.

#NetworkSecurity #IoTSecurity #PatchManagement #RCE #RouterSecurity #CVE #ThreatIntel #Infosec #ZeroTrust #EnterpriseSecurity

La CISA ordonne le retrait des appareils en fin de vie

--> https://www.datasecuritybreach.fr/la-cisa-ordonne-le-retrait-des-appareils-en-fin-de-vie/

// Calendrier serré : inventorier, retirer, puis surveiller en continu. Objectif : couper l’accès aux périphériques Edge non maintenus (EoL), devenus une autoroute pour les intrusions.

#CISA #cybersecurite #EOL #vulnerabilites #patchmanagement #zeroTrust #ITsecurity #zataz @Damien_Bancal