Täglicher IT-Security-Lagebericht – 04.04.2026

Guten Morgen,

hier ist Ihr täglicher IT-Security-Lagebericht für den 04. April 2026.

Einleitung

Der heutige Lagebericht hebt weiterhin kritische Schwachstellen in weit verbreiteten Systemen hervor, darunter Fortinet-Produkte und verschiedene Open-Source-Komponenten. Besondere Aufmerksamkeit gilt erneut Supply-Chain-Angriffen, wie dem Vorfall bei XZ Utils und der Malware auf npm, sowie einer erhöhten Aktivität bei Phishing-Kampagnen. Auch im Bereich Datenschutz gibt es wichtige Aktualisierungen bezüglich Zertifikaten und Datenlecks.

1. Aktuelle CVEs und Schwachstellen

Die folgende Tabelle listet die wichtigsten neu identifizierten oder aktualisierten Schwachstellen auf, die umgehende Aufmerksamkeit erfordern:

Kritikalität (CVSS) CVE-ID / Titel Kurzbeschreibung
KRITISCH (9.8) CVE-2026-35616: Fortinet FortiClientEMS Improper Access Control Eine Schwachstelle in der Zugriffskontrolle von Fortinet FortiClientEMS (Versionen 7.4.5 bis 7.4.6) könnte es einem nicht authentifizierten Angreifer ermöglichen, mittels manipulierter Anfragen nicht autorisierten Code oder Befehle auszuführen.
KRITISCH (9.8) CVE-2016-20052: Snews CMS Unrestricted File Upload Snews CMS 1.7 enthält eine Schwachstelle für unbeschränkten Datei-Upload, die nicht authentifizierten Angreifern das Hochladen beliebiger Dateien, einschließlich PHP-Executable, in das Verzeichnis snews_files erlaubt und somit Remote Code Execution ermöglicht.
KRITISCH (9.8) CVE-2018-25254: NICO-FTP Structured Exception Handler Buffer Overflow NICO-FTP 3.0.1.19 weist eine Pufferüberlauf-Schwachstelle im strukturierten Exception-Handler auf, die es Remote-Angreifern ermöglicht, beliebigen Code durch Senden manipulierter FTP-Befehle auszuführen.
HOCH (8.8) CVE-2026-34955: PraisonAI SubprocessSandbox Escape PraisonAI Versionen vor 4.5.97 ermöglichen einen Sandbox-Escape durch eine unzureichende Blockliste für gefährliche Befehle im SubprocessSandbox, wenn `subprocess.run()` mit `shell=True` aufgerufen wird.
HOCH (8.8) CVE-2026-3666: wpForo Forum Arbitrary File Deletion Das wpForo Forum Plugin für WordPress (alle Versionen bis 2.4.16) ist anfällig für das Löschen beliebiger Dateien durch authentifizierte Angreifer (ab Subscriber-Level) aufgrund fehlender Validierung von Dateinamen/Pfaden bei Pfad-Traversal.
HOCH (8.4) CVE-2018-25251: Snes9K Netplay Buffer Overflow Snes9K 0.0.9z enthält eine Pufferüberlauf-Schwachstelle im Netplay Socket Port Number-Feld, die es lokalen Angreifern ermöglicht, einen Structured Exception Handler (SEH) zu überschreiben und Code auszuführen.
HOCH (8.4) CVE-2018-25255: 10-Strike LANState Local Buffer Overflow 10-Strike LANState 8.8 enthält eine lokale Pufferüberlauf-Schwachstelle im strukturierten Exception-Handling, die lokalen Angreifern die Ausführung beliebigen Codes durch das Erstellen manipulierter LSM-Kartendateien ermöglicht.
HOCH (8.3) CVE-2026-34780: Electron Context Isolation Bypass Electron-Anwendungen (bestimmte Versionen 39.0.0-alpha.1 bis 41.0.0-beta.8), die VideoFrame-Objekte über die contextBridge weitergeben, sind anfällig für eine Umgehung der Kontextisolation, die Angreifern Zugang zu isolierten Umgebungen ermöglicht.
HOCH (8.1) CVE-2026-34774: Electron Offscreen Rendering Use-After-Free Electron-Anwendungen (bestimmte Versionen vor 39.8.1, 40.7.0 und 41.0.0), die Offscreen-Rendering nutzen und Kindfenster über `window.open()` zulassen, können anfällig für eine Use-After-Free-Schwachstelle sein, die zu Abstürzen oder Speicherbeschädigungen führen kann.
HOCH (8.1) CVE-2026-4896: WCFM – Frontend Manager Insecure Direct Object Reference Das WCFM – Frontend Manager Plugin für WordPress (alle Versionen bis 6.7.25) ist anfällig für Insecure Direct Object Reference (IDOR) über mehrere AJAX-Aktionen, was authentifizierten Angreifern (ab Vendor-Level) das Ändern von Bestellstatus oder das Löschen/Modifizieren beliebiger Beiträge/Produkte/Seiten ermöglicht.
HOCH (7.8) CVE-2016-20055: IObit Advanced SystemCare Unquoted Service Path IObit Advanced SystemCare 10.0.2 enthält eine Schwachstelle durch nicht-zitierte Dienstpfade im AdvancedSystemCareService10-Dienst, die lokalen Angreifern eine Privilegienausweitung ermöglicht.
HOCH (7.8) CVE-2016-20056: Spy Emergency Unquoted Service Path Spy Emergency build 23.0.205 enthält eine Schwachstelle durch nicht-zitierte Dienstpfade in den Diensten SpyEmrgHealth und SpyEmrgSrv, die lokalen Angreifern eine Privilegienausweitung ermöglicht.
HOCH (7.8) CVE-2016-20057: NETGATE Registry Cleaner Unquoted Service Path NETGATE Registry Cleaner build 16.0.205 enthält eine Schwachstelle durch nicht-zitierte Dienstpfade im NGRegClnSrv-Dienst, die lokalen Angreifern eine Privilegienausweitung ermöglicht.
HOCH (7.8) CVE-2016-20058: Netgate AMITI Antivirus Unquoted Service Path Netgate AMITI Antivirus build 23.0.305 enthält eine Schwachstelle durch nicht-zitierte Dienstpfade in den Diensten AmitiAvSrv und AmitiAntivirusHealth, die lokalen Angreifern eine Privilegienausweitung ermöglicht.
HOCH (7.8) CVE-2016-20059: IObit Malware Fighter Unquoted Service Path IObit Malware Fighter 4.3.1 enthält eine Schwachstelle durch nicht-zitierte Dienstpfade in den Diensten IMFservice und LiveUpdateSvc, die lokalen Angreifern eine Privilegienausweitung ermöglicht.

2. Bedrohungsanalysen und Angriffskampagnen

Supply Chain Angriffe weiterhin im Fokus

  • Der Vorfall um **XZ Utils 5.8.3** entwickelt sich zu einem der gravierendsten Supply-Chain-Angriffe der letzten Zeit. Obwohl die genaue Risikobewertung noch unklar ist, deutet die Entdeckung einer Backdoor in diesem weit verbreiteten Komprimierungstool auf eine hochkomplexe und koordinierte Bedrohung hin. Administratoren sind aufgerufen, ihre Systeme sorgfältig auf betroffene Versionen zu prüfen und Vorsichtsmaßnahmen zu ergreifen.
  • Auch im **npm-Ökosystem** wurde Malware entdeckt. Ein schadhafter HTTP-Client „axios“ verbreitete eine Backdoor für Windows, macOS und Linux. Dies unterstreicht die Notwendigkeit erhöhter Wachsamkeit bei der Integration von Drittanbieterbibliotheken und der Absicherung von Entwicklerkonten, die durch Phishing-Methoden kompromittiert wurden.

Zunehmende Phishing- und Ransomware-Aktivitäten

  • Die Anzahl der **“Device Code Phishing“-Angriffe** ist drastisch angestiegen. Neue Kits, die online verbreitet werden, erleichtern Angreifern das Ausnutzen dieser Methode, bei der Benutzer dazu verleitet werden, Einmalcodes für die Geräteverknüpfung preiszugeben.
  • Die deutsche Partei **“Die Linke“** bestätigte einen Datenverlust durch die **Qilin-Ransomware**. Dieser Vorfall zeigt, dass kritische Infrastrukturen und politische Organisationen weiterhin attraktive Ziele für professionelle Ransomware-Gruppen sind.

3. Datenschutz & Kryptografie

  • **D-Trust-Zertifikate müssen getauscht werden**: Betreiber von Servern, die D-Trust-Zertifikate verwenden, stehen unter Zeitdruck. Ein Austausch der Zertifikate ist bis Ostermontag erforderlich, um die Funktionsfähigkeit von TLS-Verbindungen sicherzustellen. Dies ist eine kritische Maßnahme zur Aufrechterhaltung der sicheren Kommunikation und Authentizität.
  • **Datenlecks nach Support-Ticket-Hack**: Das Unternehmen Hims & Hers meldete ein Datenleck, nachdem ein Support-Ticket-System (vermutlich Zendesk) kompromittiert wurde. Dieser Vorfall unterstreicht die Risiken, die mit externen Diensten und der Verwaltung von Kundendaten verbunden sind, selbst wenn diese in der Cloud gehostet werden.
  • **LinkedIn scannt Chrome-Erweiterungen**: Berichte deuten darauf hin, dass LinkedIn im Geheimen über 6.000 Chrome-Erweiterungen scannt und Daten darüber sammelt. Dies wirft Fragen bezüglich des Datenschutzes und der Transparenz von Online-Diensten im Umgang mit Benutzerdaten und installierter Software auf.

4. Handlungsempfehlungen

Basierend auf den aktuellen Erkenntnissen empfehlen wir folgende Maßnahmen:

  • Kritische Patches anwenden:
    • Überprüfen und patchen Sie umgehend Ihre **Fortinet FortiClientEMS**-Installationen auf Versionen jenseits der genannten Schwachstellen (CVE-2026-35616).
    • Sollten Sie **Snews CMS** oder **NICO-FTP** in Ihrer Umgebung nutzen, patchen Sie diese dringend oder isolieren Sie die Systeme, um kritische Remote Code Execution-Schwachstellen zu beheben (CVE-2016-20052, CVE-2018-25254).
    • Aktualisieren Sie **PraisonAI** auf Version 4.5.97 oder höher, um den Sandbox-Escape zu verhindern (CVE-2026-34955).
    • Nutzer des **wpForo Forum**-Plugins sollten auf Versionen jenseits 2.4.16 aktualisieren, um die Schwachstelle des Löschens beliebiger Dateien zu schließen (CVE-2026-3666).
    • Aktualisieren Sie **Electron**-basierte Anwendungen auf die gepatchten Versionen (39.8.0, 40.7.0, 41.0.0-beta.8 für CVE-2026-34780; 39.8.1, 40.7.0, 41.0.0 für CVE-2026-34774), insbesondere wenn diese WebCodecs API oder Offscreen-Rendering nutzen.
    • Patchen Sie das **WCFM – Frontend Manager for WooCommerce** Plugin auf Versionen über 6.7.25, um IDOR-Schwachstellen zu beheben (CVE-2026-4896).
    • Überprüfen und korrigieren Sie die Servicepfade für Software, die von den „Unquoted Service Path“-Schwachstellen betroffen ist (z.B. IObit Advanced SystemCare, Spy Emergency, NETGATE Registry Cleaner, Netgate AMITI Antivirus, IObit Malware Fighter), um Privilegienausweitung zu verhindern (CVE-2016-20055, CVE-2016-20056, CVE-2016-20057, CVE-2016-20058, CVE-2016-20059).
  • Supply Chain Sicherheit:
    • Prüfen Sie Ihre Infrastruktur auf die Nutzung von **XZ Utils** und stellen Sie sicher, dass keine kompromittierten Versionen (insbesondere 5.6.0 und 5.6.1) im Einsatz sind. Beobachten Sie die Situation und offizielle Empfehlungen genau.
    • Seien Sie äußerst vorsichtig bei der Integration neuer Bibliotheken und Abhängigkeiten, insbesondere aus öffentlichen Repositories wie **npm**. Implementieren Sie automatisierte Scans auf bekannte Schwachstellen und Malware.
  • D-Trust Zertifikatsaustausch: Administratoren müssen umgehend die Anweisungen von D-Trust befolgen und die betroffenen Zertifikate vor Ostermontag austauschen.
  • Phishing-Prävention: Sensibilisieren Sie Ihre Mitarbeiter erneut für aktuelle Phishing-Methoden, insbesondere „Device Code Phishing“. Schulen Sie im Erkennen verdächtiger Anfragen und Links.
  • Absicherung von Drittanbieter-Diensten: Überprüfen Sie die Sicherheitskonfigurationen und Zugriffsrechte für alle externen Dienste, die Sie nutzen (z.B. Support-Ticketsysteme), um Datenlecks zu minimieren.

Fazit

Der heutige Lagebericht zeigt einmal mehr die dynamische Bedrohungslandschaft, in der Supply-Chain-Angriffe und Phishing weiterhin eine zentrale Rolle spielen. Die schnelle Reaktion auf kritische Schwachstellen, eine kontinuierliche Überprüfung von Abhängigkeiten und die Sensibilisierung der Nutzer sind entscheidend, um die Resilienz Ihrer IT-Infrastruktur zu stärken.

Trending

Täglicher IT-Security-Lagebericht – 10.04.2026
Digital Detox: Der Schlüssel zu mehr Kreativität und Wohlbefinden?
Wie Ihr Toaster das nächste Opfer eines Cyberangriffs werden könnte
Sicherheitsbedrohungen durch IoT-Geräte und wie man sich schützen kann
WordPress Appliance - Powered by TurnKey Linux