Täglicher IT-Security-Lagebericht – 10.02.2026

Täglicher IT-Security-Lagebericht für den 10.02.2026

Sehr geehrte Leserinnen und Leser,

willkommen zu Ihrem täglichen Überblick über die wichtigsten Entwicklungen im Bereich der IT-Sicherheit. Der heutige Bericht vom 10. Februar 2026 beleuchtet eine Reihe kritischer Schwachstellen in weit verbreiteter Software sowie aktuelle Bedrohungsanalysen, die ein hohes Maß an Wachsamkeit erfordern. Insbesondere die Veröffentlichung des Microsoft Patch Tuesday für Februar 2026 und eine Flut an als kritisch eingestuften CVEs erfordern sofortige Handlung.

1. Aktuelle CVEs und Schwachstellen

Die heutige Lage ist geprägt von einer Vielzahl hochkritischer Schwachstellen (CVSS >= 9.0), die sofortige Aufmerksamkeit erfordern. Besonders hervorzuheben sind gravierende Lücken in SAP-Produkten, der Apache Druid-Plattform und weiteren Unternehmenslösungen, die Remote Code Execution oder vollen Datenzugriff ermöglichen können.

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
CRITICAL (9.9) CVE-2026-0488 / SAP CRM & S/4HANA (Scripting Editor) Authentifizierter Angreifer kann über eine generische Funktionsmodul-Call-Schwachstelle unautorisierte kritische Funktionalitäten ausführen, inklusive arbiträrer SQL-Statements, was zu einer vollständigen Datenbankkompromittierung führen kann.
CRITICAL (9.9) CVE-2026-26009 / Catalyst (Enterprise Game Server Hosts) Installationsskripte in Server-Templates werden als Root auf dem Host-OS ausgeführt. Angreifer mit ‚template.create‘ oder ‚template.update‘ Berechtigung können beliebige Shell-Befehle ausführen und erreichen volle Root-Level RCE auf allen Cluster-Knoten.
CRITICAL (9.8) CVE-2026-2095 / Agentflow (Flowring) – Authentication Bypass Unauthentifizierte Remote-Angreifer können eine spezifische Funktionalität ausnutzen, um beliebige Benutzer-Authentifizierungstoken zu erhalten und sich als jeder Benutzer im System anzumelden.
CRITICAL (9.8) CVE-2026-2096 / Agentflow (Flowring) – Missing Authentication Unauthentifizierte Remote-Angreifer können Datenbankinhalte lesen, modifizieren und löschen, indem sie eine spezifische Funktionalität ohne Authentifizierung nutzen.
CRITICAL (9.8) CVE-2025-11242 / Okulistik – Server-Side Request Forgery (SSRF) Eine SSRF-Schwachstelle in Teknolist Computer Systems Software Publishing Industry and Trade Inc. Okulistik erlaubt die Ausführung von Server Side Request Forgery.
CRITICAL (9.8) CVE-2026-23906 / Apache Druid – Authentication Bypass Authentifizierungs-Bypass in Apache Druid (0.17.0 bis 35.x) bei Verwendung der druid-basic-security-Erweiterung mit LDAP-Authentifizierung, wenn der LDAP-Server anonyme Binds zulässt. Angreifer können sich mit vorhandenem Benutzernamen und leerem Passwort authentifizieren, was zu unautorisiertem Zugriff und Datenmanipulation führt.
CRITICAL (9.8) CVE-2026-21531 / Azure SDK – Deserialization RCE Deserialisierung von nicht vertrauenswürdigen Daten im Azure SDK ermöglicht unautorisierten Angreifern die Ausführung von Code über ein Netzwerk.
CRITICAL (9.6) CVE-2026-0509 / SAP NetWeaver AS ABAP & ABAP Platform Authentifizierter, geringprivilegierter Benutzer kann Remote Function Calls ohne die erforderliche S_RFC-Autorisierung ausführen, was hohe Auswirkungen auf Integrität und Verfügbarkeit hat.
HIGH (8.8) CVE-2026-23687 / SAP NetWeaver AS ABAP & ABAP Platform Authentifizierter Angreifer mit normalen Privilegien kann signierte XML-Dokumente manipulieren, was zu Akzeptanz gefälschter Identitätsinformationen und unbefugtem Zugriff auf sensible Benutzerdaten führen kann.
HIGH (8.8) CVE-2026-2094 / Docpedia (Flowring) – SQL Injection Authentifizierte Remote-Angreifer können beliebige SQL-Befehle injizieren, um Datenbankinhalte zu lesen, zu modifizieren und zu löschen.
HIGH (8.8) CVE-2026-2097 / Agentflow (Flowring) – Arbitrary File Upload Authentifizierte Remote-Angreifer können Web-Shell-Backdoors hochladen und ausführen, was die willkürliche Codeausführung auf dem Server ermöglicht.
HIGH (8.8) CVE-2026-24343 / Apache HertzBeat – XPath Injection Fehlerhafte Neutralisierung von Daten in XPath-Ausdrücken ermöglicht XPath Injection in Apache HertzBeat (1.7.1 vor 1.8.0).
HIGH (8.8) CVE-2025-52436 / Fortinet FortiSandbox – XSS (RCE) Eine Cross-Site Scripting (XSS)-Schwachstelle (CWE-79) in Fortinet FortiSandbox kann einem unauthentifizierten Angreifer die Ausführung von Befehlen über manipulierte Anfragen ermöglichen.

2. Bedrohungsanalysen und Angriffskampagnen

  • Dringender Patch-Bedarf bei kritischer Infrastruktur und Unternehmenssoftware: Die jüngsten Meldungen zeigen einen anhaltenden Trend zu gezielten Angriffen auf weit verbreitete Unternehmenslösungen. Dies betrifft unter anderem BeyondTrust Remote Support und Privileged Remote Access, bei denen Attacken möglich sind. Auch SolarWinds Web Help Desk ist erneut Ziel von Angriffen, was die Notwendigkeit permanenter Wachsamkeit und sofortiger Patch-Implementierung unterstreicht. FortiClient EMS, IBM App Connect Enterprise und Zyxel-Firewalls weisen ebenfalls Schwachstellen auf, die die Ausführung von Schadcode, Denial-of-Service-Angriffe oder Systembefehle durch Angreifer ermöglichen.
  • Umfassendes Patch Tuesday Update von Microsoft: Microsoft hat seinen Februar 2026 Patch Tuesday veröffentlicht, der insgesamt 58 Schwachstellen behebt, darunter sechs kritische Zero-Day-Exploits. Dies unterstreicht die Notwendigkeit, alle Windows-Systeme umgehend zu aktualisieren, um bekannte Angriffspunkte zu schließen. Auch für Windows 10 wurde ein Extended Security Update (KB5075912) bereitgestellt.
  • Neue Bedrohungen im Botnet- und APT-Bereich: Ein neues Linux-Botnetz namens „SSHStalker“ nutzt für seine Command-and-Control (C2)-Kommunikation die veraltete IRC-Infrastruktur. Dies zeigt, dass auch ältere Technologien weiterhin für moderne Bedrohungen missbraucht werden. Parallel dazu setzen nordkoreanische Hacker neue macOS-Malware bei Krypto-Diebstahl-Angriffen ein, was die zunehmende Professionalisierung und Diversifizierung von APT-Angriffen auf verschiedenen Plattformen verdeutlicht. Zudem wurde eine bösartige 7-Zip-Website entdeckt, die Installationsdateien mit Proxy-Tools ausliefert, was auf Supply-Chain-Angriffe oder Social Engineering hindeutet.

3. Datenschutz & Kryptografie

Im Bereich Datenschutz und Kryptografie ist die Entwicklung hervorzuheben, dass nordkoreanische Hackergruppen verstärkt auf neue macOS-Malware setzen, um Krypto-Assets zu stehlen. Diese gezielten Angriffskampagnen zeigen, dass die Sicherung digitaler Währungen und sensibler Daten auf allen Plattformen eine hohe Priorität haben muss und fortlaufende Wachsamkeit gegenüber neuen Angriffsmethoden erfordert.

4. Handlungsempfehlungen

Basierend auf den aktuellen Erkenntnissen empfehlen wir folgende Maßnahmen:

  • Priorisierte Patch-Installation:
    • Umgehendes Patchen aller betroffenen SAP-Systeme (CRM, S/4HANA, NetWeaver ABAP), um die kritischen SQL Injection, Authentifizierungs-Bypass und XML-Signatur-Manipulations-Schwachstellen zu schließen.
    • Aktualisierung der Catalyst-Plattform auf die behobene Version (Commit 11980aaf3f46315b02777f325ba02c56b110165d), um die Root-Level RCE-Schwachstelle zu mitigieren.
    • Patchen der Flowring Agentflow- und Docpedia-Produkte, um Authentifizierungs-Bypass, Missing Authentication, Arbitrary File Upload und SQL Injection-Schwachstellen zu beheben.
    • Für Apache Druid (Versionen 0.17.0 bis 35.x): Umgehend auf Version 36.0.0 oder höher aktualisieren. Als sofortige Mitigation kann auch das Deaktivieren anonymer Binds auf dem LDAP-Server dienen, falls der `druid-basic-security` Extension mit LDAP-Authentifizierung genutzt wird.
    • Installation der neuesten Updates für Azure SDK, um die Deserialisierungs-RCE-Lücke zu schließen.
    • Upgrade von Apache HertzBeat auf Version 1.8.0.
    • Anwendung der von Microsoft am Februar Patch Tuesday 2026 veröffentlichten Updates für alle Windows-Systeme, um die sechs Zero-Day-Lücken und weiteren 58 Schwachstellen zu schließen.
    • Umgehende Prüfung und Anwendung von Patches für BeyondTrust Remote Support/Privileged Remote Access, SolarWinds Web Help Desk, FortiClient EMS, IBM App Connect Enterprise und Zyxel-Firewalls.
    • Behebung der SSRF-Schwachstelle in Teknolist Okulistik und der SQL-Injection in Ergosis ZEUS PDKS, falls diese Systeme im Einsatz sind.
  • Überwachung und Detektion: Implementieren und verstärken Sie Monitoring-Lösungen, um ungewöhnliche Aktivitäten, insbesondere im Zusammenhang mit SSH und IRC-Verkehr (im Hinblick auf SSHStalker), sowie auf macOS-Systemen (wegen Krypto-Diebstahl-Malware) zu erkennen. Überprüfen Sie regelmäßig die Integrität Ihrer Systeme.
  • Sicherheitsbewusstsein: Sensibilisieren Sie Benutzer für Phishing- und Social-Engineering-Angriffe, insbesondere im Zusammenhang mit dem Download von Software von inoffiziellen Quellen (wie dem Beispiel der bösartigen 7-Zip-Seite).
  • Zugriffsmanagement: Überprüfen Sie Berechtigungen, insbesondere in Systemen, die zur Konfiguration von Servern oder zur Ausführung von Skripten (wie Catalyst) genutzt werden, um das Risiko einer missbräuchlichen Ausnutzung zu minimieren.

Fazit

Der heutige IT-Security-Lagebericht unterstreicht die anhaltend hohe Bedrohungslage durch eine Kombination aus kritischen Software-Schwachstellen und aktiven Angriffskampagnen. Eine proaktive und schnelle Patch-Verwaltung, kombiniert mit verstärkter Überwachung und Sensibilisierung der Mitarbeiter, ist unerlässlich, um die Integrität und Sicherheit Ihrer IT-Infrastruktur zu gewährleisten. Bleiben Sie wachsam und handeln Sie präventiv.

Trending

Täglicher IT-Security-Lagebericht – 10.02.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux