Derzeit laufen aktive Cyberangriffe, bei denen Hacker jahrealte Sicherheitslücken ausnutzen, darunter auch in VMware Workspace One UEM. Alle identifizierten Schwachstellen haben eine enorm hohe Ausnutzungswahrscheinlichkeit, was auf unzureichendes Patch-Management schließen lässt.
Ältere Sicherheitslücken sind für Hacker besonders interessant, da sie häufig in vielen Organisationen ungesichert bleiben, was die Wahrscheinlichkeit ihrer Ausnutzung erhöht. DIes führt zu oftmals sehr hohen EPSS-Scores.
Eine Sicherheitslücke aus dem Jahr 2021 sorgt derzeit für Unklarheit. Denn zum einen heißt das betroffene Produkt nicht mehr VMware Workspace One UEM, sondern Omnissa Workspace One UEM. Und zum anderen führt deshalb der Link zum VMware-Sicherheitshinweis auf eine Fehlmeldung. Was steckt hinter der Schwachstelle CVE-2021-22054 und wie können Unternehmen sich schützen?
Die Schwachstelle CVE-2021-22054 mit einem CVSS-Score von 7.5 hat von der European Vulnerability Database (EUVD) die ID EUVD-2021-9219* sowie einen EPSS-Score von 93.79 Prozent zugewiesen bekommen. Dieser Wert, der die Wahrscheinlichkeit einer Ausnutzung innerhalb der nächsten 30 Tage angibt, ist enorm hoch. Und mittlerweile ist bestätigt, dass die Sicherheitslücke aktiv ausgenutzt wurde, denn die CISA hat sie am 9. März 2026 in ihren Katalog der „known exploited vulnerabilities“ aufgenommen. Demnach haben US-Behörden bis zum 23. März 2026 Zeit, die Sicherheitslücke zu schließen.
Was über EUVD-2021-9219 / CVE-2021-22054 bekannt ist
Bisher wissen wir über EUVD-2021-9219 / CVE-2021-22054, dass sie die Workspace-One-UEM-Versionen 20.0.8 bis 20.0.8.37, 20.11.0 bis 20.11.0.40, 21.2.0 bis 21.2.0.27 und 21.5.0 bis 21.5.0.37 betrifft. Diese Information ist noch aus Dezember 2021. Die damaligen Sicherheitshinweise beschrieben das Problem dahinter als SSRF-Schwachstelle (Server-Side Request Forgery), die es Angreifern mit Netzwerkzugriff auf die Lösung erlaubt, Anfragen ohne Authentifizierung zu senden und so möglicherweise Zugriff auf sensible Daten zu erhalten.
EUVD-2021-9219 / CVE-2021-22054 in aktuellen Angriffen
Doch wo kriegen betroffene Unternehmen aktuelle Informationen zum Patchen her? Schließlich führt der Link, den die CVE-Datenbank von Mitre teilt, und auf den auch die EUVD und die National Vulnerability Database verweisen (Stand 16. März 2026), auf eine leere Seite. Dies liegt vermutlich daran, dass die betroffene Lösung nicht mehr unter dem ursprünglichen Namen VMware Workspace One UEM vertrieben wird. Im April 2024 wurde sie im Rahmen des Verkaufs von VMware an Broadcom und der Übernahme der End-User-Computing-Sparte von VMware durch KKR, zu Omnissa Workspace One UEM umbenannt.
Aktuelle Informationen zu EUVD-2021-9219 / CVE-2021-22054 liefert der Hersteller Greynoise in einer Analyse. Greynoise berichtet von einer Zunahme von SSRF-Ausnutzungen, die im direkten Zusammenhang mit der Omnissa-Schwachstelle stehen würden. Neben mindestens elf anderen Schwachstellen hätten die Analysten beobachtet, wie auch EUVD-2021-9219 / CVE2021-22054 in aktuellen Angriffskampagnen ausgenutzt würde. Der Hersteller stellt eine bereit, die die Webseite Ausnutzungsaktivitäten in Echtzeit abbildet und schädliche IP-Adressen nennt. Um an diese zu gelangen, muss man allerdings einen Account bei Greynoise erstellen. In den letzten zehn Tagen wurden zwei IP-Adressen beobachtet, die die Forscher mit böswilligen Aktivitäten in Verbindung gebracht hätten:
163.245.213.223
93.123.109.205
Nutzer von Omnissa Workspace One UEM sollten diese IPs blockieren.
Auffällig ist, dass die weiteren Schwachstellen, die Greynoise neben EUVD-2021-9219 / CVE-2021-22054 in aktiven Angriffen beobachtet habe, alle schon mindestens zwei Jahre alt sind und einen enorm hohen EPSS-Score haben:
Alte Sicherheitslücken sind beliebte Einfallstore für Cyberkriminelle, da es viele Organisationen versäumen, ihre Systeme regelmäßig zu aktualisieren und Sicherheitsupdates anzuwenden. Dies führt dazu, dass verwundbare Software und Anwendungen weiterhin in der Produktionsumgebung bestehen, was Angreifern die Möglichkeit bietet, diese Schwachstellen auszunutzen. Da häufig verwendete Softwarepakete in zahlreichen Unternehmen im Einsatz sind, erhöht sich die Anzahl der potenziellen Ziele erheblich. Für Cyberkriminelle bedeutet dies, dass sie mit einer einzigen Ausnutzung einer Schwachstelle viele Systeme gleichzeitig angreifen können.
Ein weiterer Faktor, der alte Sicherheitslücken attraktiv macht, ist die Möglichkeit, automatisierte Tools zu verwenden, die speziell dafür entwickelt wurden, nach bekannten Schwachstellen zu scannen und diese auszunutzen. Cyberkriminelle können damit umfangreiche Netzwerke nach anfälligen Systemen durchsuchen und so ihre Chancen erhöhen, in ein Unternehmen einzudringen. Deshalb sollten CISOs und Informationssicherheitsbeauftragte proaktive Strategien implementieren, die auf eine kontinuierliche Verbesserung der Sicherheitslage abzielen. Dazu zählen ein robustes Schwachstellenmanagement-Programm einzuführen, das regelmäßige Scans und Bewertungen umfasst, sowie die Identifizierung von verwundbaren Systemen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Darüber hinaus empfehlen die Analysten von Greynoise zum Schutz vor der aktuellen Angriffswelle,
betroffene Systeme zu patchen und zu härten,
ausgehenden Zugriff einschränken,
ausgehende Verbindungen von internen Anwendungen auf die unbedingt notwendigen Endpunkte zu beschränken,
verdächtige ausgehende Anfragen zu überwachen,
Warnungen für unerwartete ausgehende Anfragen einzurichten sowie
schädliche IP-Adressen zu blockieren und Aktivitäten zu überwachen.
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/0e/0d0e94ef36ab18908daf271ce57c5b6e/0130083847v2.jpeg "Ältere Sicherheitslücken sind für Hacker besonders interessant, da sie häufig in vielen Organisationen ungesichert bleiben, was die Wahrscheinlichkeit ihrer Ausnutzung erhöht. DIes führt zu oftmals sehr hohen EPSS-Scores. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/48/33/4833cacbcfce7e25fecc9b8b4e6b494a/0129709900v2.jpeg "Die Phishing-Angriffe von TGR-STA-1030 beginnen laut Palo Alto Networks meist mit E-Mails, die an Regierungsmitarbeiter gesendet werden und den Vorwand einer Ministeriums- oder Behördeumstrukturierung nutzen. (Bild: © Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/fb/79fb569f08e89e72c83e2dd670d2d2df/0130010051v2.jpeg "Cyberversicherung oder Incident Response Retainer: Beide Ansätze haben Vor- und Nachteile. Eine sorgfältige Prüfung der eigenen Anforderungen ist entscheidend. (Bild: © Sarfraz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/63/92635bb91f1886ceef05e9c41e0532c3/0130004208v2.jpeg "Die Reaktionszeit ist bei Cyberangriffen entscheidend. Je schneller Security-Teams Bedrohungen erkennen und abwehren können, desto geringer der Schaden. (Bild: © Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/b8/74b8bcd9ee280c5eec09f62b865876d4/0130035577v2.jpeg "Der Entwickler versäumte es, eine Statusdatei korrekt zu verwenden und die Infrastrukturen von verschiedenen Projekten getrennt zu halten. Claude Code machte daraufhin den Fehler, die aktuelle Statusdatei von einer bestehenden Terraform-Konfiguration durch eine ältere zu ersetzen und löschte mit dem Befehl „terraform destroy“ eine komplette Datenbank und alle Snapshots. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ad/d8/add8f6a98ffe40d92e4d067a3b45a183/0130006049v2.jpeg "Die Zahl der Sicherheitsvorfälle in der Cloud nimmt weiter zu. Gleichzeitig fehlt es vielen Teams an Zeit, Kontext und Ressourcen für fundierte Untersuchungen. (Bild: © Jack - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/ee/6aee3525b520c2e632f44566cbba513d/0130142789v2.jpeg "Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/c2/30/c230edb9142e4a19ebe79d9303d4534f/0128533234v2.jpeg "Der China-nahe Cyberakteur WARP PANDA nutzt die Malware BRICKSTORM, um Traffic durch vCenter und ESXi zu tunneln und Persistenz zu halten; nur segmentierte Adminpfade, enge Zugriffsrechte und konsequente Überwachung stoppen solche Langzeitzugriffe. (Bild: © Neuropixel - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/94/3a/943ad74305de3f071137b0586ca2031c/0112502626.jpeg "Der Weg zur richtigen Patch-Management-Strategie ist oft mit erheblichem Aufwand verbunden. Eine Auditierungscheckliste als konkreter Leitfaden für die Praxis hilft weiter. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/c1/5ec1a50d8d17b2038b5e8330a5e193d6/0129923595v2.jpeg "Die Sicherheitsbehörden aus den USA, UK, Neuseeland, Australien und Kanada warnen vor Angriffen auf Cisco Catalyst SD-WAN. Wenige Angriffe laufen bereits. (©Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/2f/c62f5fbe6b84d23e128ca7be63b0b5de/0112928783.jpeg "Service-Anbieter führen neben Patchings meist auch Wartungs- und Reparaturarbeiten automatisch durch. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/7b/e77bf6c5803f6bf0972ecb45ca289c51/0129348911v2.jpeg "Sicherheitslücken in FreeRDP, die auf Buffer Overflows und eine Heap-Use-After-Free-Schwachstelle zurückzuführen sind, bedrohen Windows- und Unix-Systeme, indem sie Angreifern die Möglichkeit bieten, DoS- oder RCE-Angriffe durchzuführen. (Bild: © Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/f3/53f37867628318b5374100ff9bdfdba9/0129583189v2.jpeg "Cyberkriminelle können mithilfe präparierter Client-Anfragen Remote Code im Betriebssystem von Beyondtrust Remote Support und Privileged Remote Access ausführen. (Bild: Sohail - stock.adobe.com)")