Täglicher IT-Security-Lagebericht – 23. März 2026
Heute, am 23. März 2026, ist die IT-Sicherheitslandschaft weiterhin von einer Vielzahl kritischer Schwachstellen und anhaltenden Bedrohungskampagnen geprägt. Insbesondere eine Reihe von kritischen CVEs erfordert sofortige Aufmerksamkeit, während bekannte Bedrohungsakteure ihre Aktivitäten wieder aufnehmen und neue Zero-Days für populäre Unternehmenssoftware auftauchen.
1. Aktuelle CVEs und Schwachstellen
Die nachfolgende Tabelle listet die kritischsten Schwachstellen auf, die aktuell bekannt sind und eine umgehende Bewertung und Maßnahmen erfordern:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (10.0) | CVE-2026-3587: Remote Root Access über CLI | Eine nicht authentifizierte Remote-Angreifer kann eine versteckte Funktion in der CLI-Eingabeaufforderung ausnutzen, um die eingeschränkte Schnittstelle zu umgehen und Root-Zugriff auf das zugrunde liegende Linux-basierte Betriebssystem zu erlangen, was zu einer vollständigen Kompromittierung des Geräts führt. |
| CRITICAL (10.0) | CVE-2026-33478: WWBN AVideo – Unauthenticated RCE in CloneSite plugin | Mehrere Schwachstellen im CloneSite-Plugin von WWBN AVideo ermöglichen einem nicht authentifizierten Angreifer die Remote-Code-Ausführung (RCE) durch Offenlegung von Secret Keys, Datenbank-Dumps von Admin-Passwort-Hashes und OS Command Injection. Patches sind in Version 26.0 verfügbar. |
| CRITICAL (9.8) | CVE-2026-4567: Tenda A15 – Stack-based Buffer Overflow | Eine Schwachstelle in Tenda A15 (15.13.07.13) in der Funktion UploadCfg führt zu einem Stack-basierten Buffer Overflow durch Manipulation des Arguments File. Der Angriff kann remote initiiert werden und ein Exploit ist öffentlich verfügbar. |
| CRITICAL (9.8) | CVE-2026-32968: com_mb24sysapi module – Unauthenticated RCE | Eine unzureichende Neutralisierung spezieller Elemente in einem OS-Befehl ermöglicht einem nicht authentifizierten Remote-Angreifer die Ausnutzung einer RCE-Schwachstelle im com_mb24sysapi-Modul, was zu einer vollständigen Systemkompromittierung führt. Diese Schwachstelle ist eine Angriffsvariante für CVE-2020-10383. |
| CRITICAL (9.8) | CVE-2026-4585: Tiandy Easy7 Integrated Management Platform – OS Command Injection | Eine Schwachstelle in Tiandy Easy7 Integrated Management Platform (bis 7.17.0) im Component Configuration Handler erlaubt OS Command Injection durch Manipulation des Arguments File. Der Angriff kann remote initiiert werden und ein Exploit ist öffentlich verfügbar. |
| CRITICAL (9.8) | CVE-2026-33352: WWBN AVideo – Unauthenticated SQL Injection | Eine nicht authentifizierte SQL-Injection-Schwachstelle existiert in WWBN AVideo (vor Version 26.0) in `objects/category.php`. Eine Umgehung der Sanitärfunktionen durch Backslash-Escaping erlaubt die Manipulation von SQL-Abfragen. Patches sind in Version 26.0 verfügbar. |
| CRITICAL (9.4) | CVE-2026-4404: GoHarbor Harbor – Hard Coded Credentials | Die Verwendung hartcodierter Zugangsdaten in GoHarbor Harbor (Version 2.15.0 und darunter) ermöglicht Angreifern den Zugriff auf die Web-UI über das Standardpasswort. |
| CRITICAL (9.4) | CVE-2026-33716: WWBN AVideo – Authentication Bypass | WWBN AVideo (bis Version 26.0) weist eine Schwachstelle im Live-Stream-Kontrollendpunkt auf, die es Angreifern ermöglicht, die Token-Verifizierung auf einen eigenen Server umzuleiten und somit die Authentifizierung vollständig zu umgehen. Patches sind in Version 26.0 verfügbar. |
| CRITICAL (9.3) | CVE-2026-33502: WWBN AVideo – Unauthenticated SSRF | WWBN AVideo (bis Version 26.0) enthält eine nicht authentifizierte Server-Side Request Forgery (SSRF)-Schwachstelle in `plugin/Live/test.php`, die es Remote-Benutzern erlaubt, den AVideo-Server HTTP-Anfragen an beliebige URLs senden zu lassen. Patches sind in Version 26.0 verfügbar. |
| CRITICAL (9.3) | CVE-2026-32913: OpenClaw – Improper Header Validation | OpenClaw (vor 2026.3.7) enthält eine Schwachstelle bei der Header-Validierung in `fetchWithSsrFGuard`, die benutzerdefinierte Autorisierungs-Header bei Cross-Origin-Redirects weiterleitet. Angreifer können dies nutzen, um sensible Header abzufangen. |
| CRITICAL (9.1) | CVE-2026-4599: jsrsasign – Incomplete Comparison in Random Number Generation | Versionen des Pakets jsrsasign (7.0.0 bis 11.1.1) sind anfällig für unvollständige Vergleiche bei der Zufallszahlengenerierung, was die Wiederherstellung privater Schlüssel durch Beeinflussung von DSA-Nonces ermöglichen kann. |
| CRITICAL (9.1) | CVE-2026-33297: WWBN AVideo – Channel Password Bypass | WWBN AVideo (vor Version 26.0) weist einen Logikfehler im CustomizeUser-Plugin auf, der es erlaubt, Kanalpasswörter durch eine stille Coercion auf den Wert 0 zu setzen, wodurch der Zugriffsschutz umgangen wird. Version 26.0 enthält einen Patch für dieses Problem. |
| CRITICAL (9.1) | CVE-2026-33351: WWBN AVideo – Standalone SSRF | Wenn das AVideo Live-Plugin im Standalone-Modus bereitgestellt wird, wird der Parameter `$_REQUEST[‚webSiteRootURL‘]` direkt für serverseitige Anfragen verwendet, ohne Authentifizierung oder Validierung. Version 26.0 enthält einen Patch für dieses Problem. |
| CRITICAL (9.1) | CVE-2025-60949: Census CSWeb – Information Disclosure | Census CSWeb 8.0.1 lässt „app/config“ über HTTP erreichbar, was einem nicht authentifizierten Angreifer ermöglicht, Konfigurationsdateien abzurufen und Geheimnisse zu leaken. Behoben in 8.1.0 alpha. |
| HIGH (8.8) | CVE-2026-4565: Tenda AC21 – Buffer Overflow | Eine Schwachstelle wurde in Tenda AC21 16.03.08.16 in der Funktion formSetQosBand entdeckt. Die Manipulation des Arguments list führt zu einem Buffer Overflow. Der Angriff kann remote initiiert werden und ein Exploit ist öffentlich verfügbar. |
2. Bedrohungsanalysen und Angriffskampagnen
Die aktuelle Bedrohungslage ist vielschichtig und erfordert erhöhte Wachsamkeit:
- Die berüchtigte **Tycoon2FA-Phishing-Plattform** ist nach einer kürzlichen Polizeistörung wieder aktiv. Dies zeigt die Resilienz von Phishing-Kampagnen, die darauf abzielen, Multi-Faktor-Authentifizierungen (MFA) zu umgehen. Organisationen müssen weiterhin ihre Mitarbeiter schulen und fortschrittliche Anti-Phishing-Technologien einsetzen.
- Die Bedrohungsgruppe **TeamPCP setzt gezielte Wiper-Malware in Kubernetes-Umgebungen** ein, primär gegen iranische Ziele. Dieser Trend zu zerstörerischen Angriffen auf Container-Plattformen unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen für Cloud-native Architekturen.
- Es wurden kritische **Zero-Day-Schwachstellen in WindChill und FlexPLM** entdeckt, die eine Codeausführung ermöglichen. Ähnlich besorgniserregende Lücken in **Citrix Gateway und Netscaler ADC** sowie in verschiedenen **VMware Tanzu Spring-Produkten** wurden gemeldet. Diese Schwachstellen in weit verbreiteter Unternehmenssoftware stellen erhebliche Risiken dar und sind häufige Ziele für Angreifer.
3. Datenschutz & Kryptografie
Die Entwicklungen in den Bereichen Datenschutz und Kryptografie erfordern ebenfalls Aufmerksamkeit:
- OpenAI hat eine **ChatGPT Library zur Speicherung persönlicher Dateien** eingeführt. Obwohl dies die Funktionalität erweitern mag, wirft es wichtige Fragen bezüglich des Datenschutzes und der Datenhoheit auf. Nutzer und Unternehmen müssen die Implikationen für die Vertraulichkeit und Compliance sorgfältig prüfen.
- Des Weiteren wurden bedeutende **Datenschutzverletzungen** bekannt: Mazda hat einen Vorfall gemeldet, der Mitarbeiter- und Partnerdaten preisgab, und Crunchyroll untersucht eine Behauptung über den Diebstahl von Daten von 6,8 Millionen Nutzern. Diese Vorfälle verdeutlichen die ständige Notwendigkeit robuster Datenschutzmaßnahmen und Incident-Response-Pläne.
4. Handlungsempfehlungen
Basierend auf den aktuellen Erkenntnissen werden folgende konkrete Maßnahmen empfohlen:
- Priorisiertes Patch-Management:
- Sofortiges Patchen aller betroffenen WWBN AVideo-Installationen auf Version 26.0, um die Vielzahl kritischer Schwachstellen (RCE, SQLi, Auth Bypass, SSRF, Channel Password Bypass) zu schließen.
- Umgehende Behebung der kritischen Schwachstellen in Tenda A15/AC21, Tiandy Easy7, GoHarbor Harbor, OpenClaw, Census CSWeb sowie allen Systemen, die von CVE-2026-3587 und CVE-2026-32968 betroffen sind.
- Applizierung der Sicherheitspatches für Citrix Gateway, Netscaler ADC, VMware Tanzu (Spring-Produkte), Atlassian Bamboo, Qnap NAS-Software, WindChill und FlexPLM, sobald diese verfügbar sind.
- Update von jsrsasign auf Version 11.1.1 oder höher, um Kryptographie-Schwachstellen zu beheben.
- Stärkung der Authentifizierung und Zugriffskontrolle:
- Sensibilisierung der Mitarbeiter für Phishing-Angriffe (insbesondere Tycoon2FA) und die Implementierung von starken, Phishing-resistenten MFA-Lösungen.
- Überprüfung und Aktualisierung von Standardpasswörtern und Zugangsdaten, insbesondere bei Web-UIs wie GoHarbor, und deren Ersetzung durch komplexe, individuelle Passwörter.
- Sicherung von Container- und Cloud-Umgebungen:
- Für Kubernetes-Umgebungen: Implementierung robuster Sicherheitskontrollen, regelmäßige Überprüfung von Konfigurationen, Netzwerksegmentierung und die Verwendung von Runtime-Security-Lösungen, um Angriffe wie die von TeamPCP zu mitigieren.
- Sorgfältige Evaluierung von Drittanbieterdiensten wie der OpenAI ChatGPT Library hinsichtlich deren Datenschutzrichtlinien, Datenverarbeitungspraktiken und deren Eignung für sensible Daten.
- Notfallplanung und Incident Response:
- Regelmäßige Backups kritischer Daten und Systeme, sowie eine Überprüfung der Wiederherstellungsprozesse.
- Vorbereitung auf Zero-Day-Exploits durch engmaschiges Monitoring, die Implementierung von Intrusion Detection/Prevention Systemen und die Pflege aktueller Incident-Response-Pläne.
Fazit
Der heutige Lagebericht zeigt, dass die Bedrohungslage weiterhin sehr ernst ist und eine proaktive Haltung erfordert. Die Vielzahl kritischer Schwachstellen, gepaart mit der anhaltenden Aktivität von Phishing-Kampagnen und gezielten Angriffen auf Unternehmenssoftware und -infrastrukturen, erfordert von Organisationen höchste Wachsamkeit. Ein umfassendes Patch-Management, verstärkte Authentifizierungsmechanismen und eine kontinuierliche Überprüfung der Sicherheitspraktiken sind unerlässlich, um Schäden zu minimieren und die Integrität der IT-Systeme zu gewährleisten. Die sorgfältige Betrachtung von Datenschutzaspekten bei der Nutzung neuer Dienste gewinnt ebenfalls immer mehr an Bedeutung.
