Täglicher IT-Security-Lagebericht vom 02.04.2026
Einleitung
Der heutige Lagebericht hebt eine Reihe kritischer Schwachstellen hervor, die von weitreichenden Remote Code Execution (RCE)-Möglichkeiten bis hin zu SQL-Injection-Angriffen reichen. Besonders besorgniserregend sind weiterhin die Berichte über Supply-Chain-Angriffe, die tief in die Infrastruktur von Softwarelieferketten eindringen. Organisationen sind dringend aufgerufen, ihre Systeme proaktiv zu prüfen und umgehend die empfohlenen Maßnahmen zu ergreifen.
1. Aktuelle CVEs und Schwachstellen
Die folgenden kritischen und hochkritischen Schwachstellen wurden in den letzten 24 Stunden bekannt:
| Kritikalität (CVSS) | CVE-ID / Titel | Kurzbeschreibung |
|---|---|---|
| CRITICAL (9.9) | CVE-2026-25212 / Percona PMM RCE | Angreifer mit pmm-admin-Rechten können die „Add data source“-Funktion missbrauchen, um Shell-Befehle auf dem Betriebssystem auszuführen. |
| CRITICAL (9.9) | CVE-2026-34717 / OpenProject SQL Injection | SQL-Injection durch unzureichende Parametrisierung von Benutzereingaben in SQL-WHERE-Klauseln. |
| CRITICAL (9.9) | CVE-2026-34838 / Group-Office Insecure Deserialization (RCE) | Insecure Deserialization in AbstractSettingsCollection ermöglicht authentifizierten Angreifern Arbitrary File Write und RCE. |
| CRITICAL (9.8) | CVE-2026-2699 / ShareFile Storage Zones Controller Unauth. Access | Unauthentifizierte Angreifer können auf eingeschränkte Konfigurationsseiten zugreifen, was zu RCE führen kann. |
| CRITICAL (9.8) | CVE-2026-33746 / Convoy JWT Signature Bypass | Fehlende Verifizierung der kryptografischen Signatur von JWT-Tokens ermöglicht Angreifern die Authentifizierung als beliebiger Benutzer. |
| CRITICAL (9.8) | CVE-2026-34877 / Mbed TLS Memory Corruption (RCE) | Unzureichender Schutz serialisierter SSL-Kontextstrukturen ermöglicht Angreifern bei Modifikation Memory Corruption und RCE. |
| CRITICAL (9.8) | CVE-2024-14034 / Hirschmann HiEOS Authentication Bypass | Authentifizierungs-Bypass im HTTP(S)-Management-Modul erlaubt unauthentifizierten Angreifern administrativen Zugriff. |
| CRITICAL (9.4) | CVE-2026-33950 / Signal K Server Privilege Escalation | Privilege Escalation durch Admin Role Injection ermöglicht unauthentifizierten Angreifern vollen Administratorzugriff. |
| CRITICAL (9.1) | CVE-2026-33615 / Unauth. SQL Injection (Generic) | Unauthentifizierte Remote-SQL-Injection im setinfo-Endpunkt führt zu vollständigem Verlust der Integrität und Verfügbarkeit. |
| CRITICAL (9.1) | CVE-2026-2701 / Authenticated RCE (Generic) | Authentifizierter Benutzer kann bösartige Datei hochladen und ausführen, was zu Remote Code Execution führt. |
| CRITICAL (9.1) | CVE-2026-34745 / Fireshare Unauth. Arbitrary File Write (RCE) | Unauthentifizierte Arbitrary File Write-Schwachstelle ermöglicht Angreifern, beliebige Dateien mit kontrolliertem Inhalt zu schreiben. |
| CRITICAL (9.1) | CVE-2026-34758 / OneUptime Notification Endpoint Abuse | Unauthentifizierter Zugriff auf Benachrichtigungs- und Telefonnummern-Management-Endpunkte ermöglicht Missbrauch von Kommunikationsdiensten. |
| HIGH (8.8) | CVE-2026-21765 / HCL BigFix Platform Insecure Permissions | Unsichere Berechtigungen auf privaten kryptografischen Schlüsseln auf Windows-Host-Maschinen. |
| HIGH (8.8) | CVE-2026-28805 / OpenSTAManager Time-Based Blind SQLi | Time-Based Blind SQL Injection durch unzureichende Validierung des ‚options[stato]‘-GET-Parameters. |
| HIGH (8.8) | CVE-2026-35168 / OpenSTAManager Arbitrary SQL Execution | Das Updates-Modul ermöglicht authentifizierten Angreifern die Ausführung beliebiger SQL-Befehle gegen die Datenbank. |
2. Bedrohungsanalysen und Angriffskampagnen
- Erhöhte Gefahr durch Supply-Chain-Angriffe: Die jüngsten Vorfälle rund um die XZ Utils und die Entdeckung von Malware im npm-HTTP-Client ‚axios‘ unterstreichen die anhaltende und wachsende Bedrohung durch Angriffe auf die Software-Lieferkette. Diese Angriffe zielen darauf ab, weit verbreitete Softwarekomponenten zu kompromittieren, um Backdoors in eine Vielzahl von Systemen einzuschleusen. Der XZ Utils-Fall zeigt eine besonders raffinierte Methode der Kompromittierung, die schwer zu entdecken war.
- Aktive Ausnutzung von Browser-Schwachstellen: Es gibt Berichte über eine aktiv ausgenutzte Sicherheitslücke in Google Chrome. Dies erfordert eine sofortige Aktualisierung der Browser auf allen Endgeräten, um potenziellen Drive-by-Downloads oder anderen webbasierten Angriffen vorzubeugen, die zur Systemkompromittierung führen können.
- Große Finanzielle Verluste durch Hackerangriffe: Der Kryptowährungsdienst Drift hat durch einen Hackerangriff, bei dem die Angreifer Kontrolle über „Security Council powers“ erlangten, Verluste in Höhe von 280 Millionen US-Dollar erlitten. Dies zeigt die verheerenden finanziellen Auswirkungen, die gezielte und erfolgreiche Angriffe auf hochprivilegierte Zugänge haben können.
3. Datenschutz & Kryptografie
Besondere Aufmerksamkeit verdient die kritische Schwachstelle CVE-2026-34877 in Mbed TLS. Diese betrifft die unzureichende Absicherung serialisierter SSL-Kontext- oder Session-Strukturen, was bei Manipulation durch einen Angreifer zu Memory Corruption und potenziell zu Remote Code Execution führen kann. Da Mbed TLS eine weit verbreitete kryptografische Bibliothek ist, die in vielen eingebetteten Systemen und IoT-Geräten zum Einsatz kommt, besteht hier ein erhebliches Risiko für die Vertraulichkeit und Integrität von Daten, die über TLS-Verbindungen übertragen werden. Organisationen, die Mbed TLS einsetzen, sollten umgehend die Verfügbarkeit von Patches prüfen. Darüber hinaus haben die oben genannten Supply-Chain-Angriffe (XZ Utils, npm-Malware) das Potenzial, die Integrität und Vertraulichkeit von Daten auf kompromittierten Systemen weitreichend zu untergraben, auch wenn sie nicht direkt kryptografische Protokolle angreifen.
4. Handlungsempfehlungen
Basierend auf den aktuellen Schwachstellen und Bedrohungsanalysen empfehlen wir folgende Maßnahmen:
- Priorisieren Sie Patches für kritische RCE-Schwachstellen: Führen Sie umgehend Updates für betroffene Produkte wie Percona PMM, OpenProject, Group-Office, ShareFile Storage Zones Controller, Convoy, Fireshare, Hirschmann HiEOS und Signal K Server durch, um Remote Code Execution und Authentifizierungs-Bypass-Risiken zu minimieren.
- Überprüfen Sie Mbed TLS-Implementierungen: Stellen Sie sicher, dass alle Systeme, die Mbed TLS (Versionen von 2.19.0 bis 3.6.5, Mbed TLS 4.0.0) verwenden, auf die gepatchte Version aktualisiert werden, um Memory Corruption und RCE-Angriffe zu verhindern.
- Browser-Updates erzwingen: Stellen Sie sicher, dass alle Endbenutzer-Geräte den Google Chrome-Browser umgehend auf die neueste sichere Version aktualisieren, um Schutz vor aktiv ausgenutzten Schwachstellen zu gewährleisten.
- Supply Chain Security erhöhen: Überprüfen Sie Ihre Abhängigkeiten, insbesondere im Bereich von Open-Source-Bibliotheken (z.B. XZ Utils, npm-Pakete wie axios). Implementieren Sie strengere Prüfungen und Überwachung für Softwarekomponenten aus externen Quellen.
- SQL-Injection-Schutz verstärken: Systeme, die OpenProject, OpenSTAManager oder andere Anwendungen mit unzureichendem Input-Sanitizing verwenden, müssen umgehend gepatched werden. Führen Sie regelmäßige Code-Reviews und Penetrationstests durch, um SQL-Injection-Schwachstellen zu identifizieren und zu beheben.
- Zugriffskontrollen und Berechtigungen prüfen: Überprüfen Sie die Berechtigungen für kryptografische Schlüssel (z.B. HCL BigFix Platform) und stellen Sie sicher, dass administrative Zugänge und Benachrichtigungsendpunkte (z.B. OneUptime) entsprechend gesichert sind. Implementieren Sie das Prinzip der geringsten Rechte.
- Regelmäßige Sicherheitsscans: Führen Sie regelmäßige Scans Ihrer Systeme und Anwendungen durch, um neue Schwachstellen schnellstmöglich zu identifizieren.
Fazit
Der heutige Lagebericht zeigt ein weiterhin kritisches Bedrohungsszenario, das von einer hohen Dichte an kritischen Schwachstellen bis hin zu komplexen Supply-Chain-Angriffen reicht. Die umgehende Implementierung von Patches, eine stärkere Fokussierung auf die Sicherheit der Software-Lieferkette und die konsequente Überwachung von Systemen sind unerlässlich, um die Integrität, Vertraulichkeit und Verfügbarkeit Ihrer IT-Infrastruktur zu gewährleisten. Proaktives Handeln ist der Schlüssel zur Abwehr dieser sich ständig weiterentwickelnden Bedrohungen.
