Täglicher IT-Security-Lagebericht vom 24.02.2026
Sehr geehrte Leserinnen und Leser,
der heutige Lagebericht für den 24. Februar 2026 hebt eine Reihe kritischer Schwachstellen hervor, die von Firmware-Produkten über Web-Applikationen bis hin zu Entwicklungsbibliotheken reichen. Daneben beobachten wir weiterhin aktive Ausnutzungen bekannter Schwachstellen und gezielte Phishing-Kampagnen. Proaktives Patch-Management und erhöhte Wachsamkeit bleiben unerlässlich, um die digitale Infrastruktur effektiv zu schützen.
1. Aktuelle CVEs und Schwachstellen
Die folgende Tabelle listet die kritischsten und wichtigsten Schwachstellen auf, die uns aktuell beschäftigen:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (9.8) | CVE-2025-13942: Zyxel EX3510-B0 UPnP Command Injection | Eine Command Injection in der UPnP-Funktion der Zyxel EX3510-B0 Firmware (bis 5.17(ABUP.15.1)C0) ermöglicht entfernten Angreifern die Ausführung von Betriebssystembefehlen durch speziell präparierte UPnP SOAP-Anfragen. |
| CRITICAL (9.8) | CVE-2026-26198: Ormar ORM SQL Injection | Ormar (async mini ORM für Python), Versionen 0.9.9 bis 0.22.0, ist anfällig für SQL Injection bei Aggregationsabfragen. Angreifer können über den Column-Parameter beliebige SQL-Subqueries einschleusen und Datenbankinhalte auslesen. Update auf Version 0.23.0 ist verfügbar. |
| CRITICAL (9.8) | CVE-2026-27507: Binardat 10G08-0800GSM Hard-Coded Credentials | Die Firmware des Binardat 10G08-0800GSM Netzwerk-Switches (V300SP10260209 und früher) enthält fest verdrahtete Administrator-Anmeldeinformationen, die nicht geändert werden können und vollen administrativen Zugriff erlauben. |
| CRITICAL (9.8) | CVE-2026-21410: InSAT MasterSCADA BUK-TS SQL Injection | InSAT MasterSCADA BUK-TS ist über die Haupt-Webschnittstelle anfällig für SQL Injection, was potenziell zur Remote Code Execution führen kann. |
| CRITICAL (9.8) | CVE-2026-22553: InSAT MasterSCADA BUK-TS OS Command Injection | Alle Versionen von InSAT MasterSCADA BUK-TS sind über ein Feld in der MMadmServ-Webschnittstelle anfällig für OS Command Injection, was potenziell zur Remote Code Execution führen kann. |
| CRITICAL (9.3) | CVE-2026-27593: Statmatic Password Reset Bypass | Statmatic (Laravel/Git CMS) vor 6.3.3 und 5.73.10 weist eine Schwachstelle in der Passwort-Reset-Funktion auf, die es Angreifern ermöglicht, einen Token abzufangen und Passwörter zurückzusetzen, wenn der Nutzer auf einen Link klickt. |
| CRITICAL (9.2) | CVE-2026-27208: bleon-ethical/api-gateway-deploy OS Command Injection & Privilege Escalation | API gateway deploy (Version 1.0.0) ist anfällig für eine Angriffskette aus OS Command Injection und Privilege Escalation, die die Ausführung beliebiger Befehle mit Root-Rechten im Container ermöglicht. Behoben in Version 1.0.1. |
| CRITICAL (9.1) | CVE-2024-58041: Smolder Insecure Cryptographic Function | Smolder (Perl, bis 1.51) verwendet die unsichere rand()-Funktion als Standardquelle für Entropie in kryptographischen Funktionen, was die Sicherheit dieser Funktionen untergräbt. |
| CRITICAL (9.1) | CVE-2025-40538: Serv-U Broken Access Control | Eine Broken Access Control-Schwachstelle in Serv-U ermöglicht Angreifern mit administrativen Rechten die Erstellung eines System-Admin-Benutzers und die Ausführung von beliebigem Code. |
| CRITICAL (9.1) | CVE-2025-40539: Serv-U Type Confusion | Eine Type Confusion-Schwachstelle in Serv-U ermöglicht Angreifern mit administrativen Rechten die Ausführung von beliebigem nativem Code mit privilegiertem Konto. |
| CRITICAL (9.1) | CVE-2025-40540: Serv-U Type Confusion (zweite) | Eine weitere Type Confusion-Schwachstelle in Serv-U ermöglicht Angreifern mit administrativen Rechten die Ausführung von beliebigem nativem Code mit privilegiertem Konto. |
| CRITICAL (9.1) | CVE-2025-40541: Serv-U Insecure Direct Object Reference (IDOR) | Eine IDOR-Schwachstelle in Serv-U ermöglicht Angreifern mit administrativen Rechten die Ausführung von nativem Code mit privilegiertem Konto. |
| CRITICAL (9.1) | CVE-2026-27515: Binardat 10G08-0800GSM Predictable Session IDs | Die Firmware des Binardat 10G08-0800GSM Netzwerk-Switches (vor V300SP10260209) generiert vorhersagbare numerische Session-IDs in der Webmanagement-Oberfläche, was Session-Hijacking ermöglicht. |
| HIGH (8.8) | CVE-2026-3044: Tenda AC8 Stack-Based Buffer Overflow | Eine Schwachstelle in Tenda AC8 Firmware 16.03.34.06 (Funktion webCgiGetUploadFile, /cgi-bin/UploadCfg) führt zu einem Stack-Based Buffer Overflow durch Manipulation des ‚boundary‘-Arguments und kann aus der Ferne ausgenutzt werden. |
| HIGH (8.8) | CVE-2025-13943: Zyxel EX3301-T0 Post-Authentication Command Injection | Eine Post-Authentifizierungs-Command Injection in der Log-Datei-Download-Funktion der Zyxel EX3301-T0 Firmware (bis 5.50(ABVY.7)C0) ermöglicht einem authentifizierten Angreifer die Ausführung von Betriebssystembefehlen. |
2. Bedrohungsanalysen und Angriffskampagnen
Aktuelle Meldungen zeigen eine Fortsetzung und Intensivierung von Cyberangriffen, die gezielt auf bekannte Schwachstellen abzielen und manipulative Techniken nutzen:
- Aktive Ausnutzung von Ivanti EPMM und Roundcube Schwachstellen: Das BSI warnt, dass eine Lücke in Ivanti EPMM weiterhin verbreitet missbraucht wird. Parallel dazu laufen Angriffe auf Sicherheitslücken in Roundcube Webmail, was die Dringlichkeit zeitnaher Updates für beide Systeme unterstreicht. Organisationen, die diese Produkte einsetzen, sollten umgehend Patches einspielen und ihre Systeme auf Kompromittierung überprüfen.
- Gezielte Phishing-Kampagnen auf Logistikbranche: Eine neue Phishing-Kampagne nimmt Fracht- und Logistikunternehmen in den USA und Europa ins Visier. Diese Kampagnen zielen oft darauf ab, Zugangsdaten zu stehlen oder Malware einzuschleusen. Erhöhte Sensibilisierung der Mitarbeiter und robuste E-Mail-Sicherheitsmaßnahmen sind hier entscheidend.
- Missbrauch von Google Ads durch ‚1Campaign‘-Plattform: Eine Plattform namens ‚1Campaign‘ wird genutzt, um bösartige Google Ads zu verbreiten und deren Erkennung zu umgehen. Dies stellt eine erhebliche Bedrohung dar, da Nutzer unwissentlich auf infizierte oder Phishing-Seiten geleitet werden könnten. Vorsicht beim Klicken auf Werbeanzeigen und die Nutzung von Ad-Blockern wird empfohlen.
3. Datenschutz & Kryptografie
- Umfassende Datenlecks bei Unternehmen: Mehrere Unternehmen, darunter Wynn Resorts (Mitarbeiterdaten nach Erpressungsdrohung) und CarGurus (Informationen von 12,4 Millionen Konten), haben jüngst Datenschutzverletzungen bestätigt. Diese Vorfälle verdeutlichen die anhaltende Bedrohung durch Datendiebstahl und die Notwendigkeit robuster Sicherheitsmaßnahmen zum Schutz sensibler Informationen.
- Kryptographische Schwachstelle in Smolder: Die Perl-Bibliothek Smolder (Versionen bis 1.51) verwendet die unsichere
rand()-Funktion für kryptographische Zwecke (CVE-2024-58041). Dies untergräbt die Sicherheit jeglicher Daten, die mit Funktionen geschützt werden, die auf diese unsichere Entropiequelle angewiesen sind. - Microsoft Copilot Datakontrollen: Microsoft hat neue Datakontrollen für Copilot in allen Speicherorten hinzugefügt. Dies ist ein wichtiger Schritt zur Verbesserung der Datensouveränität und des Datenschutzes für Unternehmenskunden, die KI-basierte Assistenten nutzen. Organisationen sollten diese neuen Kontrollen überprüfen und konfigurieren, um ihre Compliance-Anforderungen zu erfüllen.
4. Handlungsempfehlungen
Um Ihre Systeme und Daten zu schützen, empfehlen wir die folgenden Maßnahmen:
- Zeitnahes Patch-Management:
- Aktualisieren Sie umgehend die Firmware Ihrer Zyxel EX3510-B0 und EX3301-T0 Geräte auf die neueste sichere Version.
- Führen Sie ein Upgrade von Ormar ORM in Python-Anwendungen auf Version 0.23.0 durch.
- Überprüfen und aktualisieren Sie die Firmware Ihrer Binardat 10G08-0800GSM Netzwerk-Switches auf V300SP10260209 oder höher. Prüfen Sie, ob hartkodierte Zugangsdaten verwendet werden und ob Session-IDs zufällig generiert werden.
- Patchen Sie umgehend alle Installationen von InSAT MasterSCADA BUK-TS, um SQL- und OS Command Injection-Schwachstellen zu beheben.
- Aktualisieren Sie Statmatic auf Version 6.3.3 oder 5.73.10, um die Passwort-Reset-Schwachstelle zu schließen.
- Aktualisieren Sie bleon-ethical/api-gateway-deploy auf Version 1.0.1.
- Patchen Sie Tenda AC8 Firmware, um die Buffer Overflow-Schwachstelle zu beheben.
- Stellen Sie sicher, dass Ihre Serv-U Installationen auf dem neuesten Stand sind, um die diversen kritischen Schwachstellen zu beheben.
- Patchen Sie regelmäßig ImageMagick, GIMP und den Dell PowerProtect Data Manager, wie in den Nachrichten erwähnt.
- Monitoring und Incident Response: Überwachen Sie Ihre Systeme, insbesondere solche, die Ivanti EPMM oder Roundcube Webmail verwenden, auf Anzeichen einer Kompromittierung und halten Sie Ihren Incident-Response-Plan bereit.
- Kryptografie-Audits: Stellen Sie sicher, dass in kritischen Anwendungen keine unsicheren Zufallsgeneratoren (wie
rand()) für kryptographische Zwecke verwendet werden. Prüfen Sie den Einsatz von Smolder in diesem Kontext. - Mitarbeiterschulungen: Führen Sie regelmäßige Schulungen zum Thema Phishing durch, um die Sensibilität für verdächtige E-Mails und Websites zu erhöhen, insbesondere für Mitarbeiter in Logistik und anderen Zielbranchen.
- Sichere Konfiguration: Überprüfen und konfigurieren Sie die Datakontrollen für Microsoft Copilot, um den Datenschutzrichtlinien Ihres Unternehmens zu entsprechen.
Fazit
Die aktuelle Bedrohungslandschaft erfordert weiterhin ein hohes Maß an Aufmerksamkeit und proaktiver Sicherheit. Die Vielzahl kritischer Schwachstellen in unterschiedlichen Produkten, gepaart mit aktiven Angriffskampagnen und Datenlecks, zeigt die Notwendigkeit eines robusten Patch-Managements, umfassender Überwachung und der kontinuierlichen Schulung von Mitarbeitern. Bleiben Sie wachsam und handeln Sie präventiv, um die Sicherheit Ihrer IT-Infrastruktur zu gewährleisten.
