CISA KEV-Katalog: Aktiv ausgenutzte Zero-Days im Dezember 2025

Die Cybersecurity and Infrastructure Security Agency (CISA) hat im Dezember 2025 mehrere hochkritische Sicherheitslücken in ihren Known Exploited Vulnerabilities (KEV) Katalog aufgenommen, die bereits von Bedrohungsakteuren ausgenutzt werden. Google veröffentlichte am 1. Dezember 2025 ein Android-Sicherheitsbulletin mit über 100 behobenen Sicherheitslücken, darunter zwei Zero-Days, die CISA am 2. Dezember in den KEV-Katalog aufnahm. Parallel dokumentieren Sicherheitsforscher aktive Exploitationskampagnen gegen Samsung-Geräte, OpenPLC-Systeme und Enterprise-Infrastruktur. Die Remediierungsfrist vom 19. Dezember 2025 für Bundesbehörden unterstreicht die Dringlichkeit.

Android-Framework Zero-Days: CVE-2025-48572 und CVE-2025-48633

Die beiden Zero-Days wurden von Google als unter begrenzter, gezielter Ausnutzung klassifiziert. CVE-2025-48633 ist eine Informationspreisgabe-Schwachstelle im Android Framework, die Zugriff auf geschützte Daten ohne erhöhte Berechtigungen ermöglicht. CVE-2025-48572 stellt eine Privilegienerhöhungs-Schwachstelle dar, die Angreifer von niedrigprivilegierten Kontexten zur Systemebene eskalieren lässt. Beide Schwachstellen sind als High Severity klassifiziert.

Die Kombination ermöglicht eine gefährliche Angriffskette: Ein Angreifer nutzt zunächst CVE-2025-48633 zur Aufklärung, dann CVE-2025-48572 zur Privilegienerhöhung für vollständige Gerätekontrolle. Diese Methodik ist typisch für kommerzielle Spyware und staatliche Überwachungsoperationen.

CISA ordnete Bundesbehörden an, diese Schwachstellen bis zum 19. Dezember 2025 zu beheben. Die Frist entspricht der Standard-Remediierungsfrist für hochkritische, aktiv ausgenutzte Lücken gemäß Binding Operational Directive (BOD) 22-01.

Samsung CVE-2025-21042: Remote Code Execution in libimagecodec

Die Schwachstelle CVE-2025-21042 ist eine Out-of-Bounds-Write-Lücke (CWE-787) in der libimagecodec-Bibliothek von Samsung-Geräten, die Remote Code Execution ermöglicht. Bedrohungsakteure nutzen diese Lücke zur Gerätekompromiittierung, indem sie manipulierte Bilddateien einbetten.

Die Exploitationskampagne demonstriert ein Zero-Click-Szenario: Opfer müssen nicht mit dem schädlichen Inhalt interagieren – die bloße Zustellung triggert die Gerätekompromiittierung im Hintergrund. Kein physischer Zugriff oder umfangreiche Nutzerinteraktion ist erforderlich.

Die Schwachstelle ermöglicht umfassende Überwachung und Datendiebstahl. CISA setzte die Remediierungsfrist auf den 1. Dezember 2025, was nur drei Wochen Zeit für Updates und Schutzmaßnahmen ließ. Samsung veröffentlichte einen Patch, doch CISA dokumentierte anhaltende aktive Ausnutzung ungepatschter Geräte im Dezember 2025.

Kritische Schwachstellen in Enterprise-Infrastruktur

OpenPLC ScadaBR CVE-2021-26829 ist eine Cross-Site-Scripting-Schwachstelle mit CVSS-Score 5,4, die CISA in den KEV-Katalog aufnahm, basierend auf bestätigter aktiver Ausnutzung. Die Lücke betrifft Versionen bis 1.12.4 (Windows) und 0.9.1 (Linux) und ermöglicht Angreifern, bösartige Skripte in Browser einzuschleusen.

Die pro-russische Hacktivist-Gruppe TwoNet zielte auf Industriesteuerungssysteme ab. Die Angriffskette begann mit Standard-Anmeldedaten, gefolgt von CVE-2021-26829-Ausnutzung. Die Angreifer führten destruktive Aktionen durch: Defacement der HMI-Anmeldeseite, Löschung verbundener SPS-Datenquellen, Manipulation von SPS-Sollwerten und Deaktivierung von Systemprotokollen. Der gesamte Angriff erfolgte innerhalb von etwa 26 Stunden.

CISA ordnete Bundesbehörden an, diese Schwachstelle bis zum 19. Dezember 2025 zu beheben.

Remediierungsanforderungen und BOD 22-01 Compliance

Binding Operational Directive (BOD) 22-01 etabliert nicht verhandelbare Remediierungsfristen für Bundesbehörden:

• Internet-exponierte Schwachstellen: 15 Kalendertage ab Erkennung
• Nicht-Internet-exponierte Schwachstellen: 25 Kalendertage ab Erkennung

Behörden, die diese Fristen verfehlen, müssen Verzögerungen dokumentieren, kompenzierende Kontrollen implementieren oder Systemabschaltung berichten. Private Organisationen haben KEV-zentrische Prioritätsbestimmung als Basis-Framework für Vulnerability Management übernommen, getrieben durch Cyber-Versicherungs-Policen, Supply-Chain-Druck und empirische Evidenz, dass KEV-gelistete Schwachstellen die höchsten Risiken darstellen.

Exploitationsmuster und Bedrohungsakteur-Aktivitäten

Ein markantes Merkmal der Dezember-2025-Bedrohungslandschaft ist die dramatische Beschleunigung zwischen Vulnerability-Disclosure und aktiver Weaponisierung. Vulnerabilities zeigen in vielen Fällen Exploitations-Evidenz am oder vor dem CVE-Publikationstag. Diese „Zero-Day-ähnliche" Exploitations-Muster reflektiert KI-gestützte Exploit-Automatisierung, verbreitete Verfügbarkeit von Proof-of-Concept-Code und organisierte Bedrohungsakteur-Operationen, die Vulnerabilities innerhalb von Stunden oder Tagen nach Disclosure weaponisieren.

Empfehlungen und Mitigationsstrategien

Organisationen müssen unmittelbar:

1. Risiko-basierte Priorisierung etablieren: Alle KEV-gelisteten Schwachstellen als Top-Remediierungs-Priorität mit Service-Level-Agreements von 2–3 Wochen designieren.
2. Internet-exponierte Systeme patchen: Für Android-Framework-Zero-Days und Samsung CVE-2025-21042 ist sofortiges Patching erforderlich.
3. Kompenzierende Kontrollen implementieren: Netzwerk-Segmentierung, Deaktivierung anfälliger Funktionalität, erweiterte Logging- und Monitoring-Aktivierung sowie forensische Analyse potenziell kompromittierter Systeme.
4. Threat Hunting durchführen: Mobile Device Management zur Erzwingung neuester Sicherheits-Patches, Scan nach verdächtigen Remote-Access-Tools und Analyse von Firewall-Regeln, administrativen Konten und Web-Server-Logs.
5. Defense-in-Depth implementieren: Multi-Faktor-Authentifizierung, IP-Restriktionen, Just-in-Time-Access-Provisioning, Netzwerk-Segmentierung und Application-Level-Firewalls.

Fazit

Die Dezember-2025-Vulnerability-Landschaft demonstriert fundamentale Verschiebungen in der Natur zeitgenössischer Cyber-Bedrohungen, mit sophistizierten Bedrohungsakteuren – einschließlich Nationalstaaten, kommerzieller Spyware-Anbieter und finanziell motivierter Cyberkrimineller – die Vulnerabilities innerhalb von Stunden oder Tagen nach Disclosure weaponisieren. Der CISA KEV-Katalog hat sich als autoritative Quelle für Vulnerability-Priorisierung und Grundlage für effektives Risk Management etabliert.

Organisationen, die KEV-zentrische Vulnerability-Management-Frameworks nicht übernehmen, riskieren substantielle Kompromittierung durch Bedrohungsakteure, die bekannte Vulnerabilities in ungepatchten Systemen aktiv ausnutzen. Die regulatorische Umgebung, verkörpert durch BOD-22-01-Anforderungen mit 15–25-Tage-Remediierungs-Fristen, reflektiert CISAs evidenzbasierte Bewertung, dass traditionelle Patch-Management-Ansätze unzureichende Sicherheitsposition bieten.

Quellen & Referenzen

• https://www.cyber.gc.ca/en/alerts-advisories/android-security-advisory-december-2025-monthly-rollup-av25-799
• https://thecyberexpress.com/cisa-warns-android-vulnerabilities-attacked/
• https://securityaffairs.com/185252/security/u-s-cisa-adds-android-framework-flaws-to-its-known-exploited-vulnerabilities-catalog.html
• https://www.cybersecurityconnect.com.au/security/12968-pair-of-android-vulnerabilities-added-to-cisa-s-kev-catalog
• https://www.scworld.com/brief/old-openplc-scadabr-flaw-added-to-cisa-kev-after-hacktivist-attack

Mit Hilfe von KI zusammengefasst.