Täglicher IT-Security-Lagebericht – 22. Februar 2026
Sehr geehrte Leserinnen und Leser,
der heutige Lagebericht gibt Ihnen einen Überblick über die aktuellen Entwicklungen im Bereich der IT-Sicherheit. Wir sehen weiterhin eine hohe Aktivität bei der Entdeckung und Ausnutzung von Schwachstellen in Netzwerkgeräten und Unternehmenssoftware, verstärkt durch den Einsatz KI-gestützter Angriffe und persistente Ransomware-Bedrohungen. Eine proaktive Patch-Strategie und aufmerksames Monitoring bleiben entscheidend.
1. Aktuelle CVEs und Schwachstellen
Die Top-Liste der aktuellen Common Vulnerabilities and Exposures (CVEs) zeigt eine alarmierende Anzahl von kritischen Schwachstellen, insbesondere in Netzwerkgeräten und Firmware. Viele dieser Lücken sind als Pufferüberläufe kategorisiert und können von Angreifern aus der Ferne ausgenutzt werden, wobei die Exploits oft bereits öffentlich verfügbar sind.
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| HIGH (8.8) | CVE-2026-2904 (UTT HiPER 810G) | Pufferüberlauf in der Funktion `strcpy` der Datei `/goform/ConfigExceptAli`, ermöglicht entfernte Ausführung. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2905 (Tenda HG9) | Stack-basierter Pufferüberlauf im Wireless Configuration Endpoint (`/boaform/formWlanSetup`), manipulierbares Argument `ssid`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2906 (Tenda HG9) | Stack-basierter Pufferüberlauf im Samba Configuration Endpoint (`/boaform/formSamba`), manipulierbares Argument `sambaCap`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2907 (Tenda HG9) | Stack-basierter Pufferüberlauf im GPON Configuration Endpoint (`/boaform/formgponConf`), manipulierbares Argument `fmgpon_loid/fmgpon_loid_password`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2908 (Tenda HG9) | Stack-basierter Pufferüberlauf im Loopback Detection Configuration Endpoint (`/boaform/formLoopBack`), manipulierbares Argument `Ethtype`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2909 (Tenda HG9) | Stack-basierter Pufferüberlauf im Diagnostic Ping Endpoint (`/boaform/formPing`), manipulierbares Argument `pingAddr`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2910 (Tenda HG9) | Stack-basierter Pufferüberlauf in der Datei `/boaform/formPing6`, manipulierbares Argument `pingAddr`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2911 (Tenda FH451) | Pufferüberlauf in der Datei `/goform/GstDhcpSetSer`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2925 (D-Link DWR-M960) | Stack-basierter Pufferüberlauf im Bridge VLAN Configuration Endpoint (`/boafrm/formBridgeVlan`), manipulierbares Argument `submit-url`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2926 (D-Link DWR-M960) | Stack-basierter Pufferüberlauf im LTE Configuration Endpoint (`/boafrm/formLteSetup`), manipulierbares Argument `submit-url`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2927 (D-Link DWR-M960) | Stack-basierter Pufferüberlauf im Operation Mode Configuration Endpoint (`/boafrm/formOpMode`), manipulierbares Argument `submit-url`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2928 (D-Link DWR-M960) | Stack-basierter Pufferüberlauf im WLAN Encryption Configuration Endpoint (`/boafrm/formWlEncrypt`), manipulierbares Argument `submit-url`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.8) | CVE-2026-2929 (D-Link DWR-M960) | Stack-basierter Pufferüberlauf im Wireless Access Control Endpoint (`/boafrm/formWlAc`), manipulierbares Argument `submit-url`. Entfernt ausnutzbar. Exploit öffentlich verfügbar. |
| HIGH (8.2) | CVE-2019-25366 (microASP Portal+ CMS) | SQL-Injection-Schwachstelle im Parameter `explode_tree` in `pagina.phtml`, ermöglicht unauthentifizierten Angreifern die Ausführung beliebiger SQL-Abfragen. |
| HIGH (8.2) | CVE-2019-25391 (Ashop Shopping Cart Software) | Zeitbasierte Blind-SQL-Injection-Schwachstelle im Parameter `blacklistitemid` in `admin/bannedcustomers.php`, ermöglicht das Auslesen sensibler Datenbankinformationen. |
2. Bedrohungsanalysen und Angriffskampagnen
Die Bedrohungslandschaft bleibt dynamisch und wird zunehmend komplexer:
- Aktive Ausnutzung kritischer Schwachstellen: Das BSI warnt vor dem verbreiteten Missbrauch einer Ivanti-EPMM-Lücke. Auch eine RCE-Schwachstelle in BeyondTrust wird laut CISA aktiv in Ransomware-Angriffen ausgenutzt. Diese Vorfälle unterstreichen die Dringlichkeit, Sicherheitsupdates für weit verbreitete Unternehmenssoftware zeitnah einzuspielen. Auch Atlassian Bamboo und Confluence weisen Schwachstellen auf, die umgehende Patches erfordern.
- KI-gestützte Angriffe und neue Angriffsvektoren: Amazon meldet den Vorfall eines KI-gestützten Hackers, der in nur fünf Wochen 600 Fortinet-Firewalls kompromittieren konnte. Dies verdeutlicht das wachsende Risiko durch den Einsatz von Künstlicher Intelligenz auf Angreiferseite. Zudem werden KI-Tools wie Nvidias Megatron Bridge und NeMo Framework selbst zu potenziellen Einfallstoren für Angreifer. Der kurzlebige „Arkanix Stealer“ als KI-Info-Stealer-Experiment zeigt die schnelle Entwicklung in diesem Bereich.
- Anhaltende Ransomware-Bedrohung: Das japanische Technologieunternehmen Advantest wurde Opfer eines Ransomware-Angriffs. Dies ist ein weiteres Beispiel für die anhaltende und aggressive Bedrohung durch Ransomware-Gruppen, die weiterhin Unternehmen jeder Größe ins Visier nehmen und dabei oft bekannte Schwachstellen für den initialen Zugriff nutzen.
3. Datenschutz & Kryptografie
In Bezug auf Datenschutz und Kryptografie gibt es heute einen bemerkenswerten Vorfall:
- Predator Spyware auf iOS: Die „Predator“-Spyware zeigt, wie ausgeklügelte Überwachungssoftware die Privatsphäre von Nutzern gefährdet. Sie ist in der Lage, iOS SpringBoard zu manipulieren, um Aktivitäten des Mikrofons und der Kamera zu verbergen. Dies deutet auf eine gezielte Verschleierung von Überwachungsaktivitäten hin, was erhebliche datenschutzrechtliche Implikationen hat und die Notwendigkeit robuster Mobilgerätesicherheit unterstreicht.
4. Handlungsempfehlungen
Basierend auf den aktuellen Erkenntnissen empfehlen wir folgende Maßnahmen:
- Umgehende Patch-Verwaltung:
- Priorisieren Sie die sofortige Installation von Sicherheitsupdates für alle genannten Router- und Netzwerkgeräte (UTT HiPER 810G, Tenda HG9, Tenda FH451, D-Link DWR-M960), insbesondere da die Exploits öffentlich verfügbar sind und die Schwachstellen entfernt ausnutzbar sind.
- Stellen Sie sicher, dass alle Ivanti-EPMM-, BeyondTrust-, Dell PowerProtect Data Manager-, Atlassian (Bamboo, Confluence)- und Notepad++-Installationen mit den neuesten Sicherheitspatches versehen sind, insbesondere da Ivanti- und BeyondTrust-Lücken aktiv ausgenutzt werden.
- Patchen Sie CMS- und E-Commerce-Systeme (wie microASP Portal+ CMS und Ashop Shopping Cart Software) gegen bekannte SQL-Injection-Schwachstellen.
- Netzwerk- und Gerätesicherheit:
- Überprüfen und härten Sie die Konfiguration von Netzwerkgeräten. Deaktivieren Sie unnötige Dienste und setzen Sie starke, einzigartige Passwörter.
- Implementieren Sie eine Segmentierung Ihrer Netzwerke, um die Ausbreitung potenzieller Angriffe zu begrenzen.
- Einsatz von Web Application Firewalls (WAF) und Intrusion Detection/Prevention Systems (IDPS) zum Schutz vor SQL-Injections und anderen gängigen Angriffen.
- Proaktives Monitoring & Incident Response:
- Überwachen Sie Ihre Systeme und Netzwerke kontinuierlich auf ungewöhnliche Aktivitäten oder Anzeichen von Kompromittierung, insbesondere in Bezug auf AI-gestützte Tools und Ransomware.
- Stellen Sie sicher, dass ein aktueller und getesteter Incident-Response-Plan vorhanden ist, um im Falle eines Angriffs schnell und effektiv reagieren zu können.
- Awareness und Schulung:
- Sensibilisieren Sie Mitarbeiter für Phishing-Angriffe und andere Social-Engineering-Taktiken, die oft den ersten Schritt in einer Angriffskette darstellen.
- Informieren Sie über die Risiken bei der Nutzung von KI-Tools und die Notwendigkeit sicherer Entwicklungspraktiken.
Fazit
Der heutige Bericht unterstreicht die Notwendigkeit einer umfassenden und agilen IT-Sicherheitsstrategie. Die Kombination aus zahlreichen kritischen Schwachstellen in weit verbreiteten Geräten, der aktiven Ausnutzung bekannter Lücken, dem Aufkommen KI-gestützter Angriffsmethoden und der anhaltenden Bedrohung durch Ransomware erfordert höchste Wachsamkeit. Regelmäßige Updates, proaktive Überwachung und ein geschärftes Bewusstsein für die aktuellen Gefahren sind unerlässlich, um die Integrität und Sicherheit Ihrer Systeme zu gewährleisten.
