Täglicher IT-Security-Lagebericht vom 11. Februar 2026
Sehr geehrte Leserinnen und Leser,
der heutige Lagebericht zeigt einmal mehr die dynamische Natur der Bedrohungslandschaft. Der 11. Februar 2026 ist geprägt von umfangreichen Patch-Days großer Softwarehersteller wie Microsoft, Adobe und SAP, die eine Vielzahl kritischer Schwachstellen adressieren. Gleichzeitig beobachten wir Berichte über die aktive Ausnutzung von Zero-Day-Lücken und die anhaltende Bedrohung durch gezielte Angriffskampagnen. Die Notwendigkeit eines proaktiven Patch-Managements und der Wachsamkeit gegenüber neuen Angriffstechniken ist heute besonders hervorzuheben.
1. Aktuelle CVEs und Schwachstellen
Die folgende Tabelle listet einige der kritischsten Schwachstellen auf, die in den letzten Tagen bekannt wurden und ein hohes Risiko für betroffene Systeme darstellen:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2025-64075 (ZBT WE2001 Path Traversal) | Eine Path Traversal-Schwachstelle in der check_token-Funktion von Shenzhen Zhibotong Electronics ZBT WE2001 23.09.27 ermöglicht es Remote-Angreifern, die Authentifizierung zu umgehen und administrative Aktionen durchzuführen, indem ein manipulierter Session-Cookie-Wert bereitgestellt wird. |
| CRITICAL (9.8) | CVE-2026-1357 (WordPress WPvivid File Upload RCE) | Das WordPress-Plugin Migration, Backup, Staging – WPvivid Backup & Migration (<= 0.9.123) ist anfällig für Unauthentifizierten Arbitrary File Upload. Dies ermöglicht Angreifern, beliebige PHP-Dateien hochzuladen und Remote Code Execution zu erreichen. |
| CRITICAL (9.8) | CVE-2025-8025 (Dinosoft ERP Access Control) | Eine Schwachstelle in Dinosoft Business Solutions Dinosoft ERP (von < 3.0.1 bis 11022026) führt zu fehlender Authentifizierung für kritische Funktionen und unsachgemäßer Zugriffskontrolle, wodurch nicht ordnungsgemäß durch ACLs eingeschränkte Funktionen zugänglich sind. |
| CRITICAL (9.8) | CVE-2025-12059 (Logo j-Platform Sensitive Info Disclosure) | Eine Schwachstelle in Logo Software Industry and Trade Inc. Logo j-Platform (von 3.29.6.4 bis 13112025) ermöglicht das Einfügen sensibler Informationen in extern zugängliche Dateien oder Verzeichnisse durch Ausnutzung falsch konfigurierter Zugriffskontrollen. |
| CRITICAL (9.8) | CVE-2026-2248 (METIS WIC Devices RCE) | METIS WIC-Geräte (<= oscore 2.1.234-r18) legen einen Web-basierten Shell unter /console ohne Authentifizierung offen, der Remote-Angreifern die Ausführung beliebiger Betriebssystembefehle mit Root-Rechten ermöglicht. |
| CRITICAL (9.8) | CVE-2026-2249 (METIS DFS Devices RCE) | METIS DFS-Geräte (<= oscore 2.1.234-r18) legen einen Web-basierten Shell unter /console ohne Authentifizierung offen, der Remote-Angreifern die Ausführung beliebiger Betriebssystembefehle mit 'daemon'-Rechten ermöglicht. |
| CRITICAL (9.8) | CVE-2026-24789 (Unprotected API Endpoint) | Ein ungeschützter API-Endpunkt ermöglicht es einem Angreifer, das Gerätepasswort remote ohne Authentifizierung zu ändern. |
| CRITICAL (9.8) | CVE-2026-25084 (ZLAN5143D Authentication Bypass) | Die Authentifizierung für ZLAN5143D kann durch direkten Zugriff auf interne URLs umgangen werden. |
| CRITICAL (9.8) | CVE-2020-37153 (ASTPP 4.0.1 Multiple Vulns) | ASTPP 4.0.1 enthält mehrere Schwachstellen, darunter Cross-Site Scripting und Command Injection in SIP-Gerätekonfigurations- und Plugin-Management-Schnittstellen, die Angreifer zur Remote Code Execution nutzen können. |
| CRITICAL (9.8) | CVE-2020-37176 (Torrent 3GP Converter Stack Overflow) | Torrent 3GP Converter 1.51 enthält eine Stack-Overflow-Schwachstelle, die Angreifern die Ausführung beliebigen Codes durch Überschreiben von SEH-Registern ermöglicht. |
| CRITICAL (9.8) | CVE-2020-37181 (Torrent FLV Converter Stack Overflow) | Torrent FLV Converter 1.51 Build 117 enthält eine Stack-Overflow-Schwachstelle, die Angreifern das Überschreiben von SEH durch einen bösartigen Registrierungscode-Input ermöglicht. |
| CRITICAL (9.8) | CVE-2020-37183 (Allok RM RMVB to AVI Converter Stack Overflow) | Allok RM RMVB to AVI MPEG DVD Converter 3.6.1217 enthält eine Stack-Overflow-Schwachstelle, die Angreifern die Ausführung beliebigen Codes durch Überschreiben von SEH-Registern ermöglicht. |
| CRITICAL (9.8) | CVE-2020-37184 (Allok Video Converter Stack Overflow) | Allok Video Converter 4.6.1217 enthält eine Stack-Overflow-Schwachstelle im Eingabefeld „License Name“, die Angreifern die Ausführung beliebigen Codes ermöglicht. |
| CRITICAL (9.8) | CVE-2020-37186 (Chevereto 3.13.4 RCE) | Chevereto 3.13.4 Core enthält eine Remote Code Execution-Schwachstelle, die Angreifern das Einschleusen bösartigen Codes während der Datenbankkonfigurationsinstallation ermöglicht. |
| CRITICAL (9.4) | CVE-2025-8668 (Turboard Reflected XSS) | Eine Reflected XSS-Schwachstelle in E-Kalite Software Hardware Engineering Design and Internet Services Industry and Trade Ltd. Co. Turboard (von 2025.07 bis 11022026) ermöglicht die unsachgemäße Neutralisierung von Eingaben während der Webseitengenerierung. |
2. Bedrohungsanalysen und Angriffskampagnen
Die aktuelle Nachrichtenlage ist geprägt von mehreren wichtigen Entwicklungen:
- Umfassende Patch-Days bei Großherstellern: Microsoft, Adobe und SAP haben simultan umfassende Patch-Days abgehalten. Hierbei wurden kritische Sicherheitslücken in Produkten wie Windows, Word, InDesign, After Effects, SAP CRM und S/4HANA geschlossen. Dies deutet auf eine erhöhte Aktivität bei der Entdeckung und Behebung von Schwachstellen in weit verbreiteter Unternehmenssoftware hin, einige davon werden bereits aktiv ausgenutzt.
- Aktive Ausnutzung von Zero-Days und gezielte Angriffe: Apple hat eine Zero-Day-Schwachstelle behoben, die in „extrem ausgeklügelten“ Angriffen ausgenutzt wurde. Ebenso wurden erneute Attacken auf SolarWinds Web Help Desk beobachtet, und es gibt Berichte über mögliche Angriffe auf BeyondTrust Remote Support und Privileged Remote Access. Diese Vorfälle unterstreichen, dass Bedrohungsakteure weiterhin gezielt kritische Infrastruktur und weit verbreitete Management-Tools ins Visier nehmen.
- Neue Taktiken bei Account-Kompromittierungen und Ransomware: Ein Microsoft Store Outlook Add-in wurde manipuliert, um Berichten zufolge 4.000 Microsoft-Konten zu stehlen, was eine neue Form der Lieferketten- oder Vertrauensketten-Kompromittierung darstellt. Zudem wurde eine „Crazy“-Ransomware-Gang entdeckt, die Überwachungssoftware für Mitarbeiter in ihren Angriffen missbraucht, was auf kreative Nutzung legitimer Tools für bösartige Zwecke hindeutet. Die Verhaftung eines Verkäufers eines JokerOTP MFA Passcode Capturing Tools zeigt auch die anhaltenden Bemühungen, Multi-Faktor-Authentifizierung zu umgehen.
3. Datenschutz & Kryptografie
Im Bereich Datenschutz und Kryptografie gab es relevante Meldungen bezüglich der Sicherheit von Anmeldeinformationen und der potenziellen Umgehung von Schutzmechanismen:
- Die Nachricht über die Verhaftung eines Verkäufers eines Tools zum Erfassen von MFA-Passcodes („JokerOTP MFA passcode capturing tool“) unterstreicht die anhaltende Bedrohung für Multi-Faktor-Authentifizierungssysteme. Solche Tools können Angreifern ermöglichen, eigentlich gut geschützte Konten zu übernehmen und somit auf sensible Daten zuzugreifen, was direkte Auswirkungen auf den Datenschutz hat.
- Die Kompromittierung eines Microsoft Store Outlook Add-ins, das zum Diebstahl von 4.000 Microsoft-Konten führte, zeigt, wie Angreifer legitime Kanäle nutzen, um Anmeldeinformationen zu erbeuten. Dies stellt ein erhebliches Datenschutzrisiko dar, da die gestohlenen Konten den Zugang zu einer Fülle persönlicher und geschäftlicher Daten ermöglichen könnten.
4. Handlungsempfehlungen
Basierend auf den aktuellen Schwachstellen und Bedrohungsanalysen empfehlen wir folgende Maßnahmen:
- Priorisierung von Patches: Installieren Sie umgehend alle verfügbaren Sicherheitsupdates von Microsoft, Adobe und SAP. Prüfen Sie insbesondere die Patches für Windows, Word, InDesign, After Effects, SAP CRM und S/4HANA.
- Software-Updates für kritische Systeme: Aktualisieren Sie umgehend die betroffenen Versionen von WordPress (WPvivid Backup & Migration <= 0.9.123), ZBT WE2001, Dinosoft ERP (bis 11022026), Logo j-Platform (bis 13112025), METIS WIC/DFS-Geräten (<= oscore 2.1.234-r18), ZLAN5143D, ASTPP 4.0.1, Chevereto 3.13.4 und Turboard (bis 11022026). Diese Systeme weisen kritische Schwachstellen auf, die eine Remote Code Execution oder Authentifizierungs-Bypass ermöglichen.
- Überprüfung der Zugriffskontrollen: Überprüfen Sie alle webbasierten Konsolen und API-Endpunkte in Ihrer Umgebung, insbesondere bei Geräten wie METIS WIC/DFS und ZLAN5143D, auf fehlende oder umgehbare Authentifizierungsmechanismen. Stellen Sie sicher, dass keine unauthentifizierten Zugriffe auf administrative Funktionen möglich sind.
- Multi-Faktor-Authentifizierung (MFA) stärken: Obwohl MFA-Umgehungstools existieren, bleibt MFA eine wichtige Schutzschicht. Informieren Sie Ihre Mitarbeiter über Phishing-Methoden, die auf MFA abzielen, und erwägen Sie den Einsatz von FIDO2-Hardware-Token für kritische Zugänge.
- Sorgfältige Prüfung von Add-ins und Erweiterungen: Seien Sie äußerst vorsichtig bei der Installation von Add-ins oder Erweiterungen, selbst aus offiziellen Stores. Überprüfen Sie deren Berechtigungen und die Reputation des Anbieters.
- Monitoring und Incident Response: Implementieren und verstärken Sie das Monitoring von Systemen auf ungewöhnliche Aktivitäten, insbesondere im Zusammenhang mit Dateiuploads, nicht-authentifizierten Zugriffen und der Ausführung von Befehlen. Stellen Sie sicher, dass ein Incident-Response-Plan für den Fall einer Kompromittierung existiert und getestet wird.
Fazit
Der heutige Sicherheitstag unterstreicht die Notwendigkeit einer umfassenden und agilen Sicherheitsstrategie. Die Vielzahl kritischer Schwachstellen, kombiniert mit aktiven Ausnutzungen und neuen Angriffstaktiken, erfordert von Organisationen, ihre Patch-Management-Prozesse zu optimieren, Authentifizierungsmechanismen kritisch zu hinterfragen und die Awareness ihrer Mitarbeiter kontinuierlich zu schulen. Nur durch proaktives Handeln kann das Risiko von schwerwiegenden Sicherheitsvorfällen minimiert werden.
