CISA-Katalog attackierter Schwachstellen wuchs 2025 um 20 Prozent

Der Katalog der missbrauchten Schwachstellen der US-amerikanischen Cybersicherheitsbehörde CISA ist im Jahr 2025 um rund 20 Prozent angewachsen. Damit beschleunigte sich der Zuwachs. Von den beobachteten Angriffen auf Schwachstellen nutzten Ransomware-Banden 24 der neu im Jahr 2025 aufgenommenen Lücken aus.

Das berichten die IT-Sicherheitsforscher des Unternehmens Cyble in einem Blog-Beitrag. Der „Known Exploited Vulnerabilities“-Katalog (KEV) startete im November 2021 und verzeichnete im Herbst 2023 bereits die tausendste als attackiert registrierte Sicherheitslücke. Laut Cyble folgten auf die initiale Spitze zum Start des KEV im Jahr 2023 noch 187 aufgenommene Sicherheitslücken, im Jahr 2024 dann 185 weitere. Im vergangenen Jahr 2025 hat die CISA nun 245 neue Sicherheitslücken als in freier Wildbahn missbraucht registriert – ein deutlicher Zuwachs, mithin stieg der Umfang des KEV dadurch um 20 Prozent an.

Der Katalog umfasst zum Jahresende 2025 insgesamt 1484 Sicherheitslecks. Die Meldungen enthalten in jedem Jahr auch ältere Lücken, die bereits ein Jahr oder länger bekannt sind. Der Anteil ist vergleichsweise konstant bei etwa einem Drittel der neu aufgenommenen Lecks eines Jahres.

Von Ransomware-Gruppen missbrauchte Schwachstellen

Die CISA zeichnet zudem bei einigen Sicherheitslücken auf, dass sie von Ransomware-Gruppen missbraucht wurden. 2025 hat die CISA 24 der neu registrierten Schwachstellen derartig markiert. Etwa die Schwachstellen „CitrixBleed 2“ (CVE-2025-5777) oder in der Oracle E-Business-Suite (CVE-2025-61882, CVE-2025-61884) hat die kriminelle Online-Vereinigung Cl0p attackiert und darüber Daten von betroffenen Organisationen kopiert und die Opfer dann um Lösegeld erpresst.

Auch ein Ranking der am meisten im Jahr 2025 neu missbrauchten Schwachstellen nach Hersteller liefern Cybles IT-Forscher:

1. Microsoft (39)
2. Apple (9)
3. Cisco (8)
4. Fortinet (8)
5. Google Chromium (7)
6. Ivanti (7)
7. Linux-Kernel (7)
8. Citrix (5)
9. D-Link (5)
10. Oracle (5)
11. Sonicwall (5)

Für Admins stellt der „Known Exploited Vulnerabilities“-Katalog der CISA damit weiterhin eine wichtige Quelle für zügig zu patchende Schwachstellen dar.

(dmk)