CISA setzt ConnectWise-ScreenConnect-Lücken auf KEV-Liste

Wenn die CISA einen Bug in ihren Known Exploited Vulnerabilities-Katalog stellt, ist das Game over für Hoffnungsdenken. Am 28. April 2026 hat sie gleich zwei Lücken eingetragen – und beide treffen alles, was du im Homelab oder im Mittelstand vermutlich gerade laufen hast.

HAMMER: ScreenConnect-Path-Traversal in der Hall of Shame

Der erste Eintrag heißt CVE-2024-1708 und beschreibt einen Path-Traversal-Bug in ConnectWise ScreenConnect 23.9.7 und älter. CVSS 8.4. Wirkt nach drei Jahren Schimmel, ist aber alles andere als alt – der Bug wird gerade aktiv mit CVE-2024-1709 verkettet, einem 10.0er-Authentication-Bypass.

Die Kombi ist seit 2024 bekannt, aber Hacker-Gangs wie Black Basta, LockBit-Ableger und ein gutes Dutzend Ransomware-Affiliates ziehen sie immer wieder aus der Schublade. Ein verwundbarer ScreenConnect-Server ist der Türöffner Nummer 1 in MSP-Netze.

SCHOCK: Die Behörden-Deadline ist 12. Mai 2026

Federal Civilian Executive Branch Agencies (also die US-Bundesverwaltung) müssen spätestens am 12. Mai 2026 gepatcht haben. CISA bittet alle Privatfirmen ausdrücklich, sich an diesem Datum zu orientieren. Übersetzt: Wenn dein MSP, dein Hoster oder deine eigene IT noch ein altes ScreenConnect betreibt, läuft die Uhr.

WIE du dich JETZT schützt

Vier Punkte, die du in der nächsten Stunde abarbeiten kannst:

ScreenConnect-Version checken: wenn du auf 23.9.7 oder älter bist – sofort auf 23.9.8+ updaten, idealerweise auf die aktuelle 24.x-Linie.
Externe Erreichbarkeit prüfen: ScreenConnect-Webportale haben in einem Inventar nichts auf Port 443 öffentlich verloren. Reverse-Proxy mit IP-Whitelist davorsetzen.
MFA für alle Konsolen erzwingen: Ein Auth-Bypass kann auch Sessionsklau bedeuten – MFA stoppt zumindest die Anschlussanmeldungen.
Logs der letzten 30 Tage durchforsten: 401/403-Wellen auf /SetupWizard.aspx oder ungewöhnliche Path-Strings sind Indizien für Exploit-Versuche.

EXTRA-TIPP: Windows-Bug 32202 nicht vergessen

Im gleichen KEV-Update steckt CVE-2026-32202, ein Windows-Shell-Spoofing-Bug, der Schutzmechanismen unterläuft. Microsoft hat die Lücke nachträglich als aktiv ausgenutzt markiert. Wer beim April-Patch-Tuesday warmgelaufen ist, hat den Patch bereits gezogen. Falls nicht: Update einplanen.

FAZIT: Patch-Pflicht ist KEIN Behörden-Thema mehr

Der KEV-Katalog ist die realistischste Patch-Priorisierungsliste, die du bekommen kannst. Wenn dort ein Bug landet, heißt das: jemand wird gerade damit gehackt. Plan deinen Maintenance-Slot heute Abend ein, prüf alle deine Remote-Tools – und tu deinem MSP-Kollegen einen Gefallen, indem du ihn auf den Eintrag hinweist.

Häufige Fragen

Welche Versionen sind genau betroffen?

ConnectWise ScreenConnect 23.9.7 und älter sind verwundbar gegen die Path-Traversal-Lücke CVE-2024-1708. Die zugehörige Auth-Bypass-Lücke CVE-2024-1709 trifft dieselbe Versionsfamilie. Update auf 23.9.8 oder höher entschärft beide. Beim Windows-Bug CVE-2026-32202 sind alle Endpoints ohne den April-Patch-Tuesday gefährdet.

Wie merke ich, ob mein System angegriffen wurde?

Schau in den ScreenConnect-Logs nach untypischen Pfaden mit „..\“ oder Aufrufen auf SetupWizard.aspx von externen IPs. Ungewöhnliche neue Admin-Konten oder Session-Tokens gehören ebenfalls auf den Prüfstand. Bei Windows ist der Bug schwerer ohne EDR zu erkennen – Microsofts Defender und gängige EDR-Suites haben Signaturen für die aktive Ausnutzung nachgezogen.

Wie behebe ich das Problem konkret?

Bei ScreenConnect: über das Hersteller-Repo auf 23.9.8+ updaten, idealerweise direkt auf die aktuelle 24.x-Linie. Restart einplanen, Sessions neu anmelden lassen. Bei Windows: April-Patch-Tuesday-Update KB einspielen, anschließend Reboot. Wer einen Patch-Manager nutzt, bekommt beide Updates über die normale Pipeline.

Was passiert mit Behörden, die die Deadline reißen?

CISA-Vorgaben sind für Federal Civilian Executive Branch Agencies bindend. Wer die Deadline am 12. Mai 2026 reißt, muss schriftlich begründen, warum, und einen kompensierenden Schutz beschreiben. Privatfirmen sind nicht an die Deadline gebunden, sollten sie aber als Benchmark nehmen – Versicherungsgesellschaften ziehen KEV-Listen inzwischen oft als Mindestmaßstab heran.

REMOTE-ALARM! ScreenConnect-Hammer schiebt 10.0er-Lücke wieder ins KEV-Rampenlicht!